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Editorial 


Mit der Datenschutz-Grundverordnung hat die EU einen Anlauf genommen auch die so- 
genannten Tech-Giganten an die Grundrechte und Regeln des Rechtstaats zu binden. 
Auch wenn Datenschutzaktivisten schon am ersten Tag der DSGVO-Anwendung ihre 
Beschwerden insbesondere bezüglich der verschiedenen Dienste von Facebook (heute 
Meta) eingereicht haben, hat es doch bis vor wenigen Wochen gedauert, bis die irische 
Datenschutzbehörde sich zu einer Sanktionsentscheidung durchgerungen hat. Und es 
bedurfte des koordinierten Einsatzes der anderen nationalen Datenschutzbehörden der 
EU, um über den Europäischen Datenschutzausschuss (EDSA) eine solche Entscheidung 
zu erzwingen. Die nächste Runde wird vor den europäischen Gerichten stattfinden: Meta 
wird zunächst in Irland klagen, die irische Datenschutzbehörde will gleich auf europäi- 
scher Ebene gegen Teile des EDSA-Beschlusses vorgehen. Es bleibt also spannend (mehr 
im Nachrichtenteil). 


Nichtsdestoweniger hat sich auf der EU-Ebene die Erkenntnis durchgesetzt, dass es mehr 
als der Möglichkeiten einzelner Mitgliedstaaten bedarf, um sich gegen die Mega-Unter- 
nehmen der GAFAM durchzusetzen. Das ist der Ursprungsgedanke der EU-Digitalstrate- 
gie, die unter anderem wettbewerbsrechtliche Regeln, Verbraucherschutz und Verpflich- 
tungen gegen die Verbreitung von Falschinformationen und Hasspropaganda für den 
ganzen EU-Binnenmarkt festlegen und mit Durchsetzungsmöglichkeiten versehen will. 


Außer der stärkeren Kontrolle der Großunternehmen strebt der EU-Gesetzgeber auch 
eine Stärkung von EU-Unternehmen mit datenbasierten Geschäftsmodellen an. Dazu 
sollen Mechanismen zum Teilen von Daten zwischen verschiedenen Organisationen un- 
terstützt werden. 


Bisher besteht das Paket aus fünf Verordnungen: Digital Services Act, Digital Markets 
Act, Data Governance Act, Data Act und der Verordnung über den Europäischen Gesund- 
heitsdatenraum (EGDR). Die ersten drei Instrumente sind bereits verabschiedet, die an- 
deren beiden sind in fortgeschrittenen Verhandlungen zwischen den EU-Institutionen. 
Ziel der Kommission wird es sicher sein das Paket vor den Wahlen zum Europaparlament 
im Frühjahr 2024 abzuschließen. 


Wir bringen zunächst einen Überblick über die Gesamtinitiative. Wobei wir auch an zwei 
Vorschläge erinnern, die strenggenommen nicht dazu gehören, nämlich den Rechtsakt 
über künstliche Intelligenz, der gerade verhandelt wird, und die ePrivacy-Verordnung, 
die jetzt seit sechs Jahren festhängt. 


Professor Eric Hilgendorf gibt eine Einschätzung der von der Kommission vorgeschla- 
genen Pakete. Einige der Kritikpunkte mögen im Rahmen des Gesetzgebungsprozesses 
berücksichtigt worden sein. Ute Bernhardt, Ingo Ruhmann und Thilo Weichert tragen 
eine detaillierte und fundierte Analyse des Vorschlags zum EGDR bei. 


Der BfDI Ulrich Kelber hat bei netzpolitik.org eine umfassende Kritik zu den verbreiteten 
Falschaussagen zum Datenschutz veröffentlicht, die wir mit großer Zustimmung nach- 
drucken. 


Zum Abschluss gibt es offene Briefe (die teilweise auch) von der DVD mitunterzeichnet 
wurden sowie unsere Presseerklärung zur Registerveröffentlichung (inklusive einem Up- 
date) und es folgen wie immer die aktuellen Nachrichten, Urteile und Buchbesprechungen. 


Wir wünschen Ihnen und Euch eine angenehme und anregende Lektüre. 


Autorinnen und Autoren dieser Ausgabe: 
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Achim Klabunde 


Ein Überblick über die Digitalstrategie 


der Europäischen Union 


Die aktuelle Europäische Kommission 
hat sich die Neuordnung der Rahmen- 
bedingungen für digitale Dienste und 
die Märkte als Flaggschiffprojekt an die 
Fahne geheftet. Besonders die Kommis- 
sionsmitglieder Margarete Vestager und 
Thierry Breton werden als die Treiber 
der Initiativen wahrgenommen. 

Frau Vestager hat bereits in ihrer letz- 
ten Amtszeit als Wettbewerbskommis- 
sarin die Möglichkeiten und Grenzen 
des EU-Wettbewerbsrechts ausgetestet. 
Das allgemeine Gericht der EU hat erst 
im September eine Wettbewerbsstrafe 
von über 4 Milliarden Euro gegen Google 
für wettbewerbswidrige Maßnahmen für 
rechtmäßig gehalten. Zwar hat Google 
in diesem, wie auch in anderen Fällen, 
noch die Möglichkeit Revision beim 
Europäischen Gerichtshof einzulegen, 
aber die erstinstanzliche Bestätigung 
stärkt natürlich die Position der Kom- 
mission. 

Thierry Breton wird als Vorstand eu- 
ropäischer IT-Unternehmen sicherlich 
umfangreiche Erfahrungen mit den 
Tricks der IT-Riesen von der US-West- 
küste gesammelt haben. Der Digital 
Markets Act der EU zielt darauf ab mehr 
Wettbewerb für neue Unternahmen zu 
ermöglichen und erheblich schneller 
gegen wettbewerbswidriges Verhalten 
vorgehen zu können. 

Aber Wettbewerb ist nur eine der 
Stoßrichtungen der Digitalisierungs- 
strategie der Kommission. Auch die 


Bild: iStock.com/imaginima 


Verbraucher sollen besser gegen Hass- 
propaganda und Falschinformationen 
geschützt werden. Das Instrument dazu 
ist der Digital Services Act. Er erlaubt es 
sehr große Plattformen, wie soziale Me- 
dien und Suchmaschinen, als „Torwäch- 
ter“ zu benennen, die dann strengeren 
Verpflichtungen unterliegen gegen 
Missbrauch ihrer Dienste vorzugehen. 

Außer den verbesserten Wettbewerbs- 
und Verbraucherschutzbedingungen 
bemüht sich die EU auch datenbasier- 
te Geschäftsmodelle zu ermöglichen. 
Erster Baustein der Datenstrategie ist 
der bereits beschlossene Data Gover- 
nance Act (DGA). Dieser legt Bedingun- 
gen und Verfahren fest, wie Daten von 
Dateninhabern weiteren Akteuren zur 
Verfügung gestellt werden können. Der 
Schutz der Grundrechte der Personen, 
deren Daten verarbeitet werden, soll 
unberührt bleiben. Da der Gesetzgeber 
nur den allgemeinen Grundsatz festle- 
gen konnte, wird sich die Auflösung von 
Konflikten wohl erst in der praktischen 
Anwendung entwickeln. Ein neues Kon- 
zept des DGAs ist auch der Datenaltru- 
ismus zur Bereitstellung von Daten im 
Interesse des Gemeinwohls. 

Basierend auf dem DGA sollen weite- 
re Instrumente zur Konkretisierung der 
Bedingungen für die Datenwirtschaft 
beschlossen werden. Der Data Act be- 
inhaltet weitere Details der Datennut- 
zung, z.B. über den Zugriff auf Daten 
von Benutzergeräten oder für den Zu- 


gang für Aufgaben der öffentlichen Ver- 
waltung. Konkretisiert werden sollen 
Regeln für den Datengebrauch durch 
sektorspezifische Regeln. Am weitesten 
fortgeschritten ist der Europäische Ge- 
sundheitsdatenraum (EHDS), über den 
bereits Gespräche zwischen Rat und Eu- 
ropaparlament stattfinden. Der nächste 
Sektor könnte sich mit Mobilitätsdaten 
befassen und zum Beispiel den lange be- 
stehenden Konflikt zwischen Fahrzeug- 
herstellern und anderen am Verkehrs- 
geschehen beteiligten Parteien über die 
immer umfangreichere Datensammlung 
im Fahrzeugbetrieb angehen. Insge- 
samt hat die Kommission acht europäi- 
sche Datenräume skizziert. 

Außer an die aktuellen Gesetzesvor- 
haben erinnern wir in der nachfolgen- 
den Übersicht auch an bereits länger 
laufende Verfahren. Der AI Act wurde 
vorgeschlagen, als der letzte AI-Hype 
losging und nähert sich ebenfalls mög- 
lichen konkreten Verhandlungen. 

Bereits seit 2017 hängt die ePrivacy- 
Verordnung im Gesetzgebungsverfahren 
fest. Während das Europaparlament sich 
mehrheitlich für starke Bürgerrechte 
ausspricht, blockieren im Rat zum einen 
die Verfechter der wirtschaftlichen Nut- 
zung von Kommunikationsdaten, z.B. 
mit der Begründung des berechtigten 
Interesses, zum anderen Sicherheits- 
politiker, die mit unterschiedlichen 
Begründungen Lücken in den Grund- 
rechtsschutz schlagen wollen. 
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« Abkürzung: DMA 
« Kurzname: Digital Markets Act 


« VERORDNUNG (EU) 2022/1925 
DES EUROPÄISCHEN PARLAMENTS 
UND DES RATES vom 14. September 
2022 über bestreitbare und faire 
Märkte im digitalen Sektor und 
zur Änderung der Richtlinien (EU) 
2019/1937 und (EU) 2020/1828 
(Gesetz über digitale Märkte) 


° Stand am 1. Februar 2023: 
veröffentlicht 


« Veröffentlichung: 12. Oktober 2022, 
ABI. L265/1 


° Wirksamkeit: In Kraft 1. November 
2022, gilt ab 2. Mai 2023, einige 
Durchführungsvorschriften bereits 
ab 1. November 2022 


« EP 1. Lesung: 5. Juli 2022 

« Ratsentscheidung: 18. Juli 2022 

« Legislativvorgang: 2020/0374/COD 
« Kommissionsvorschlag 


COM/2020/767/FINAL vom 
16. Dezember 2020 


Aus den Erwägungsgründen: 

Zweck dieser Verordnung ist es da- 
her, zum reibungslosen Funktionieren 
des Binnenmarkts beizutragen, indem 
Vorschriften festgelegt werden, die die 
Bestreitbarkeit und Fairness der Märkte 
im digitalen Sektor im Allgemeinen und 
für gewerbliche Nutzer und Endnut- 
zer zentraler Plattformdienste, die von 
Torwächtern bereitgestellt werden, im 
Besonderen gewährleisten. Es sollten 
geeignete requlatorische Maßnahmen 
getroffen werden, um gewerbliche Nut- 
zer und Endnutzer der von Torwächtern 
bereitgestellten zentralen Plattform- 
dienste in der gesamten Union vor un- 
fairen Praktiken von Torwächtern zu 
schützen, um grenzüberschreitende Ge- 
schäfte innerhalb der Union zu erleich- 
tern und auf diese Weise das reibungs- 
lose Funktionieren des Binnenmarkts 
zu verbessern und eine bestehende 
oder mit Wahrscheinlichkeit entstehen- 
de Fragmentierung in den unter diese 
Verordnung fallenden Bereichen zu be- 
seitigen. Wenngleich Torwächter meist 
weltweit oder europaweit ausgerichtete 
Geschäftsmodelle und algorithmische 
Strukturen zugrunde legen, können 
sie in verschiedenen Mitgliedstaaten 
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unterschiedliche Konditionen und Ge- 
schäftspraktiken anwenden und haben 
das in einigen Fällen auch getan; dies 
kann ungleiche Wettbewerbsbedin- 
gungen für die Nutzer ihrer zentralen 
Plattformdienste zur Folge haben, was 
die Integration des Binnenmarkts be- 
einträchtigt 

Durch eine gewisse Angleichung un- 
terschiedlich gestalteter nationaler 
Rechtsvorschriften können Hindernisse 
ausgeräumt werden, die der freien Er- 
bringung und dem freien Empfang von 
Dienstleistungen wie Einzelhandels- 
dienstleistungen im Binnenmarkt entge- 
genstehen. Auf der Ebene der Union soll- 
ten daher gezielte harmonisierte rechtli- 
che Verpflichtungen festgelegt werden, 
um zum Vorteil der Wirtschaft der Union 
insgesamt und letztlich der Verbraucher 
in der Union bestreitbare und faire digi- 
tale Märkte, auf denen Torwächter tätig 
sind, im Binnenmarkt sicherzustellen. 


EDSB (Europäischer Datenschutzbe- 
auftragter) Stellungnahme vom 
10. Februar 2021: 

Der EDSB geht in dieser Stellungnah- 
me vor allem auf diejenigen Bestimmun- 
gen des Vorschlags ein, die eine sich 
gegenseitig verstärkende Wettbewerbs- 
fähigkeit des Marktes und letztlich auch 
Kontrolle der betroffenen Person über 
ihre personenbezogenen Daten bewir- 
ken. (...). Der EDSB formuliert aber auch 
spezifische Empfehlungen, mit denen 
sichergestellt werden soll, dass der Vor- 
schlag die DSGVO wirksam ergänzt und 
den Schutz der Grundrechte und Grund- 
freiheiten der betroffenen Personen ver- 
stärkt und Reibungen mit bestehenden 
Datenschutzvorschriften vermeidet. 
(...). Darüber hinaus fordert der EDSB 
die beiden gesetzgebenden Organe auf, 
die Aufnahme von Mindestanforderun- 
gen an die Interoperabilität für Gate- 
keeper in Erwägung zu ziehen und die 
Entwicklung technischer Standards auf 
europäischer Ebene in Einklang mit den 
geltenden Rechtsvorschriften der Union 
über europäische Normung zu fördern. 
Schließlich empfiehlt der EDSB, unter 
anderem auf den Erfahrungen mit dem 
Digital Clearinghouse aufbauend, in 
Artikel 32 Absatz 1 festzulegen, dass 
dem Beratenden Ausschuss für digitale 
Märkte auch Vertreter des EDSA angehö- 
ren, und fordert ganz allgemein eine in- 


stitutionalisierte und strukturierte Zu- 
sammenarbeit zwischen den einschlä- 
gigen zuständigen Aufsichtsbehörden, 
darunter die Datenschutzbehörden. 
Mit dieser Zusammenarbeit sollte ins- 
besondere sichergestellt werden, dass 
alle relevanten Informationen mit den 
zuständigen Behörden ausgetauscht 
werden können, damit diese ihre ein- 
ander ergänzenden Rollen spielen und 
dabei ihrem jeweiligen institutionellen 
Auftrag nachkommen können. 


« Abkürzung: DSA 

« Kurzname: Digital Services Act 

e VERORDNUNG (EU) 2022/2065 DES 
EUROPÄISCHEN PARLAMENTS UND 
DES RATES vom 19. Oktober 2022 
über einen Binnenmarkt für digi- 
tale Dienste und zur Änderung der 
Richtlinie 2000/31/EG (Gesetz über 
digitale Dienste) 

Stand am 1. Februar 2023: 
veröffentlicht 

Veröffentlichung: 27. Oktober 2022, 
ABl. 1L277/1 

Wirksamkeit: In Kraft 8. November 
2022, gilt ab 17. Februar 2024, 
Berichtspflichten der Anbieter und 
Kommissionbefugnisse gelten seit 
16. November 2022 

EP 1. Lesung: 5. Juli 2022 
Ratsentscheidung: 4. Oktober 2022 
Legislativvorgang: 2020/0361/COD 
Kommissionsvorschlag 
COM/2020/825/FINAL vom 

16. Dezember 2020 


Aus den Erwägungsgründen: 

Damit das Online-Umfeld sicher, be- 
rechenbar und vertrauenswürdig ist 
und sowohl Bürgerinnen und Bürger 
der Union als auch andere Personen 
die ihnen in der Charta der Grundrech- 
te der Europäischen Union (im Folgen- 
den „Charta”) garantierten Grundrech- 
te ausüben können, insbesondere das 
Recht auf Meinungs- und Informations- 
freiheit, auf unternehmerische Freiheit, 
das Recht aufNichtdiskriminierung und 
die Erreichung eines hohen Verbrau- 
cherschutzniveaus, ist unbedingt ein 
verantwortungsvolles und sorgfältiges 
Verhalten der Anbieter von Vermitt- 
lungsdiensten erforderlich. 


Um das Funktionieren des Binnen- 
markts sicherzustellen und zu verbes- 
sern, sollten daher auf Unionsebene 
verbindliche gezielte, einheitliche, 
wirksame und verhältnismäßige Vor- 
schriften festgelegt werden. Mit dieser 
Verordnung werden die Voraussetzun- 
gen dafür geschaffen, dass im Bin- 
nenmarkt innovative digitale Dienste 
entstehen und expandieren können. 
Die Angleichung der nationalen Re- 
gulierungsmaßnahmen bezüglich der 
Anforderungen an Anbieter von Ver- 
mittlungsdiensten auf Unionsebene ist 
erforderlich, um eine Fragmentierung 
des Binnenmarkts zu verhindern und zu 
beenden, für Rechtssicherheit zu sorgen 
und somit die Unsicherheit für Entwick- 
ler zu verringern und die Interoperabi- 
lität zu fördern. Durch die technologie- 
neutrale Gestaltung der Anforderungen 
sollte die Innovation nicht gehemmt, 
sondern vielmehr gefördert werden. 


EDSB Stellungnahme vom 
10. Februar 2021: 

Der EDSB begrüßt, dass die im Rah- 
men der Verordnung (EU) 2016/679 
und der Richtlinie 2002/58/EG be- 
stehenden Schutzmaßnahmen durch 
den Vorschlag eher ergänzt als ersetzt 
werden sollen. Unabhängig davon wird 
sich der Vorschlag eindeutig auf die 
Verarbeitung personenbezogener Da- 
ten auswirken. Der EDSB erachtet es als 
notwendig, die Komplementarität bei 
der Überwachung und Beaufsichtigung 
von Online-Plattformen und anderen 
Hosting-Diensteanbietern sicherzustel- 
len. Bestimmte Aktivitäten im Zusam- 
menhang mit Online-Plattformen stel- 
len nicht nur für die Rechte Einzelner, 
sondern für die Gesellschaft als Ganzes 
zunehmende Risiken dar. 

Während der Vorschlag einige Maß- 
nahmen zur Risikominderung enthält, 
werden zusätzliche Sicherheitsvorkeh- 
rungen gewährleistet und dies insbe- 
sondere in Bezug auf die Moderation 
von Inhalten, Online-Werbung und 
Empfehlungssysteme. Die Moderation 
von Inhalten sollte nach dem Rechts- 
staatlichkeitsprinzip erfolgen. Auf- 
grund der bereits vorherrschenden 
Überwachung von Menschen im Inter- 
net, insbesondere im Zusammenhang 
mit Online-Plattformen, sollte das Ge- 
setz über digitale Dienste beschreiben, 


wann Bemühungen zur Bekämpfung 
„illegaler Inhalte” die Verwendung au- 
tomatisierter Mittel zur Erkennung, 
Feststellung und Bekämpfung illegaler 
Inhalte rechtfertigen. Das Profiling zum 
Zwecke der Moderation von Inhalten 
sollte verboten sein, sofern der Anbieter 
nicht nachweisen kann, dass diese Maß- 
nahmen unbedingt erforderlich sind, 
um ausdrücklich durch das Gesetz über 
digitale Dienste ermittelte systemische 
Risiken zu bewältigen. Angesichts der 
Vielzahl von Risiken in Verbindung 
mit gezielter Online-Werbung drängt 
der EDSB die Mitgesetzgeber, über die 
Transparenz hinausgehende zusätzliche 
Regeln in Betracht zu ziehen. Zu diesen 
Maßnahmen sollte eine allmähliche Ab- 
schaffung gehören, die in einem Verbot 
von gezielter Werbung auf der Grund- 
lage von allgegenwärtiger Nachverfol- 
gung mündet sowie Beschränkungen in 
Bezug auf die Datenkategorien, die zu 
Zwecken der gezielten Ansprache ver- 
arbeitet, und die Datenkategorien, die 
gegenüber Werbetreibenden oder Drit- 
ten offengelegt werden dürfen, um ge- 
zielte Werbung zu ermöglichen oder zu 
erleichtern. Entsprechend den Anforde- 
rungen des Datenschutzes durch Tech- 
nikgestaltung und durch datenschutz- 
freundliche Voreinstellungen sollten 
Empfehlungssysteme nicht grundsätz- 
lich durch Voreinstellung auf Profiling 
beruhen. Aufgrund ihrer wesentlichen 
Auswirkungen empfiehlt der EDSB zu- 
dem weitere Maßnahmen, um die Trans- 
parenz und Nutzerkontrolle in Bezug 
auf Empfehlungssysteme zu fördern. 
Allgemeiner noch empfiehlt der EDSB 
die Einführung von Mindest-Interope- 
rabilitätsanforderungen für sehr große 
Online-Plattformen sowie die Förderung 
der Entwicklung von technischen Nor- 
men auf europäischer Ebene gemäß den 
anwendbaren Rechtsvorschriften der 
Union im Hinblick auf die europäische 
Normung. Gestützt auf die Erfahrungen 
und Entwicklungen im Zusammenhang 
mit dem Digital Clearinghouse emp- 
fiehlt der EDSB nachdrücklich, eine 
explizite und umfassende Rechtsgrund- 
lage für die Zusammenarbeit und den 
Austausch relevanter Informationen 
zwischen den Aufsichtsbehörden, die 
jeweils im Rahmen ihrer jeweiligen Zu- 
ständigkeit handeln, zu schaffen. Das 
Gesetz über digitale Dienste muss die 


institutionalisierte und strukturierte 
Zusammenarbeit zwischen den zustän- 
digen Aufsichtsbehörden einschließlich 
der Datenschutzbehörden, der Verbrau- 
cherschutzbehörden und der Wettbe- 
werbsbehörden sicherstellen. 


« Abkürzung: DGA 
e Kurzname: Data Governance Act 


« Verordnung (EU) 2022/868 des 
Europäischen Parlaments und des 
Rates vom 30. Mai 2022 über eu- 
ropäische Daten-Governance und 
zur Änderung der Verordnung (EU) 
2018/1724 (Daten-Governance- 
Rechtsakt) 


° Stand am 1. Februar 2023: veröf- 
fentlicht 


« Veröffentlichung: 3. Juni 2022 ABl. 
L152/1 


+ Wirksamkeit: In Kraft 23. Juni 2022, 
gilt ab 24. September 2023 


« EP 1. Lesung: 6. April 2022 

« Ratsentscheidung: 16. Mai 2022 

« Legislativvorgang: 2020/0340/COD 
« Kommissionsvorschlag 


COM/2020/767/FINAL vom 
25. November 2020 


Aus den Erwägungsgründen: 

Es ist notwendig, die Bedingungen für 
die gemeinsame Datennutzung im Bin- 
nenmarkt zu verbessern und dazu einen 
harmonisierten Rahmen für den Daten- 
austausch zu schaffen sowie bestimmte 
grundlegende Anforderungen an die 
Daten-Governance festzulegen, wobei 
der Erleichterung der Kooperation be- 
sondere Aufmerksamkeit zu widmen ist. 
Ziel dieser Verordnung sollte es sein, die 
Entwicklung eines grenzfreien digitalen 
Binnenmarktes sowie eine auf den Men- 
schen ausgerichtete, vertrauenswürdige 
und sichere Datengesellschaft und -wirt- 
schaft voranzutreiben. Mit sektorspezi- 
fischem Unionsrecht, wie beispielsweise 
dem vorgesehenen Unionsrecht zum eu- 
ropäischen Gesundheitsdatenraum und 
zum Zugang zu Fahrzeugdaten, können 
je nach den Besonderheiten eines Sek- 
tors neue und ergänzende Elemente ent- 
wickelt, angepasst und vorgeschlagen 
werden. (...) Für die Weiterverwendung 
geschützter und im Besitz öffentlicher 
Stellen befindlicher Daten bestimmter 
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Kategorien sowie für die Erbringung von 
Datenvermittlungsdiensten und von auf 
Datenaltruismus beruhenden Diensten 
in der Union sollte eine horizontale Re- 
gelung geschaffen werden. Aufgrund der 
Besonderheiten verschiedener Sektoren 
kann es erforderlich sein, ausgehend von 
den Anforderungen dieser Verordnung 
sektorale datengestützte Systeme zu 
konzipieren. 


Gemeinsame Stellungnahme 3/2021 
des EDSA und des EDSB zum Vor- 
schlag für eine Verordnung des Eu- 
ropäischen Parlaments und des Rates 
über europäische Daten-Governance 
(Daten-Governance-Gesetz), 11. März 
2021 

Der EDSA und der EDSB weisen darü- 
ber hinaus darauf hin, dass das Modell 
der Europäischen Union auf der durch- 
gängigen Berücksichtigung ihrer Werte 
und Grundrechte bei den Entwicklun- 
gen ihrer Politik beruht und dass die 
DSGVO als Grundlage betrachtet werden 
muss, auf der ein europäisches Daten- 
Governance-Modell aufzubauen ist. Wie 
bereits in verschiedenen politischen 
Kontexten, z.B. beider Bekämpfung der 
COVID-19-Pandemie, festgestellt wurde, 
ist der EU-Rechtsrahmen im Bereich des 
Schutzes personenbezogener Daten als 
treibende Kraft und nicht als Hindernis 
für die Entwicklung einer Datenwirt- 
schaft zu betrachten, die den Werten 
und Grundsätzen der Union entspricht. 


Aus der Begründung: 
Der Vorschlag für das Datengesetz be- 
inhaltet 
- Maßnahmen, damit Nutzer Zugang 
zu den von ihren vernetzten Geräten 
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erzeugten Daten haben, die häufig 
ausschließlich von Herstellern ge- 
sammelt werden, und diese Daten an 
Dritte weitergeben können, die an- 
schließende Dienste oder andere da- 
tengesteuerte innovative Dienste an- 
bieten. Es bietet nach wie vor Anreize 
für Hersteller, in eine hochwertige 
Datenerzeugung zu investieren, weil 
es ihnen ermöglicht, die durch die 
Datenweitergabe entstehenden Kos- 
ten zu decken, und gleichzeitig aus- 
schließt, dass die von ihnen bereit- 
gestellten Daten verwendet werden, 
um damit in direkten Wettbewerb zu 
ihrem Produkt zu treten. 
Maßnahmen zur Wiederherstellung 
einer ausgewogenen Verhandlungs- 
macht für KMU durch Verhinderung 
von Ungleichgewichten in Verträgen 
über die gemeinsame Datennutzung. 
Das Datengesetz schützt KMU vor 
missbräuchlichen Vertragsklauseln, 
die von einer Vertragspartei mit einer 
deutlich stärkeren Verhandlungspo- 
sition vorgegeben werden. Die Kom- 
mission wird auch Mustervertragsbe- 
dingungen entwickeln, um KMU dabei 
zu helfen, faire Verträge über die ge- 
meinsame Datennutzung abzufassen 
und auszuhandeln. 

- Mittel für Behörden für den Zugang 
zu und die Nutzung von Daten im 
Besitz des Privatsektors, die unter 
besonderen Umständen und vor al- 
lem bei öffentlichen Notständen wie 
Überschwemmungen und Waldbrän- 
den benötigt werden oder aber zur 
Wahrnehmung eines rechtlichen Man- 
dats, sofern Daten nicht anderweitig 
verfügbar sind. Der Datenzugang ist 
erforderlich, damit rasch und sicher 
reagiert werden kann und Unterneh- 
men dabei möglichst wenig belastet 
werden. 

- Neue Vorschriften, damit Kunden 
effektiv wechseln können zwischen 
Anbietern von Cloud-Datenverarbei- 
tungsdiensten. 

und führt Schutzmaßnahmen gegen 

unrechtmäßige Datenübermittlungen 

ein. 


Gemeinsame Stellungnahme 2/2022 
des EDSA und des EDSB zum Vorschlag 
für eine Verordnung des Europäi- 
schen Parlaments und des Rates über 
harmonisierte Vorschriften für den 


fairen Zugang zu Daten und deren 
Nutzung, 4. Mai 2022: 

While welcoming the efforts made to 
ensure that the Proposal does not af- 
fect the current data protection frame- 
work, the EDPB and the EDPS consider 
that additional safeguards are necessa- 
ry to avoid lowering the protection of 
the fundamental rights to privacy and 
to the protection of personal data in 
practice. First, additional safequards 
are especially necessary as the rights 
to access, use and share data under the 
Proposal would likely extend to entities 
other than the data subjects, including 
businesses, depending on the legal 
title under which the device is being 
used. Second, the EDPB and EDPS are 
deeply concerned by the provisions of 
the Proposal regarding the obligation 
to make data available to public sector 
bodies and Union institutions, agencies 
or bodies in case of “exceptional need”. 
Finally, the EDPB and the EDPS are con- 
cerned that the oversight mechanism 
established by the Proposal may lead to 
fragmented and incoherent supervision. 


Übersetzt mit www.DeepL.com/ 
Translator (kostenlose Version): 

Der EDSA und der EDSB begrüßen 
zwar die Bemühungen, die unternom- 
men wurden, um sicherzustellen, dass 
der Vorschlag den derzeitigen Daten- 
schutzrahmen nicht beeinträchtigt, 
sind jedoch der Ansicht, dass zusätzli- 
che Garantien erforderlich sind, um zu 
vermeiden, dass der Schutz der Grund- 
rechte auf Privatsphäre und auf den 
Schutz personenbezogener Daten in der 
Praxis beeinträchtigt wird. Erstens sind 
zusätzliche Garantien vor allem des- 
halb erforderlich, weil sich die Rechte 
auf Zugang, Nutzung und Weitergabe 
von Daten gemäß dem Vorschlag wahr- 
scheinlich auch auf andere Stellen als 
die betroffenen Personen erstrecken 
würden, einschließlich Unternehmen, 
je nachdem, unter welchem Rechtstitel 
das Gerät verwendet wird. Zweitens sind 
der EDSA und der EDSB zutiefst besorgt 
über die Bestimmungen des Vorschlags 
bezüglich der Verpflichtung, öffent- 
lichen Stellen und Organen, Agentu- 
ren oder Einrichtungen der Union im 
Falle eines „außergewöhnlichen Be- 
darfs“ Daten zur Verfügung zu stellen. 
Schließlich sind der EDSA und der EDSB 


besorgt, dass der durch den Vorschlag 
eingeführte Aufsichtsmechanismus zu 
einer fragmentierten und inkohärenten 
Aufsicht führen könnte. 


Aus der Begründung: 

Immer mehr Menschen in Europa 
überschreiten nationale Grenzen, um 
zu arbeiten, zu studieren, Verwandte 
zu besuchen oder zu reisen. Um den 
Austausch von Gesundheitsdaten zu 
erleichtern und den Bürgerinnen und 
Bürgern die benötigte Handlungskom- 
petenz zu verleihen, sollten sie auf ihre 
Gesundheitsdaten in einem elektroni- 
schen Format zugreifen können, das 
in der gesamten Union anerkannt und 
akzeptiert werden kann. Solche perso- 
nenbezogenen elektronischen Gesund- 
heitsdaten könnten personenbezogene 
Daten über die körperliche oder geistige 
Gesundheit einer natürlichen Person, 
einschließlich der Erbringung von Ge- 
sundheitsdiensten, aus denen Informa- 
tionen über ihren Gesundheitszustand 
hervorgehen, personenbezogene Daten 
zu den ererbten oder erworbenen ge- 
netischen Merkmalen einer natürlichen 
Person, die eindeutige Informationen 
über den körperlichen Zustand oder die 
Gesundheit dieser natürlichen Person 
liefern und speziell das Ergebnis einer 
Analyse einer Probe von biologischem 
Material der betreffenden natürlichen 
Person sind, sowie Datendeterminanten 
für die Gesundheit wie Verhalten, Um- 
welt, physische Einflüsse, medizinische 
Versorgung, soziale Faktoren oder er- 
ziehungs-/bildungsbezogene Faktoren 
umfassen. Elektronische Gesundheits- 
daten schließen auch Daten ein, die 


ursprünglich für Zwecke der Forschung, 
der Statistik, der Politikgestaltung oder 
der Regulierung erhoben wurden und 
nach den Vorschriften in Kapitel IV zur 
Verfügung gestellt werden können. Die 
elektronischen Gesundheitsdaten be- 
treffen alle Kategorien dieser Daten, 
unabhängig davon, ob diese Daten von 
der betroffenen Person oder anderen 
natürlichen oder juristischen Personen 
wie Angehörigen der Gesundheitsberufe 
bereitgestellt oder im Zusammenhang 
mit der Gesundheit oder dem Wohlbefin- 
den einer natürlichen Person verarbei- 
tet werden, und sollten auch gefolgerte 
und abgeleitete Daten, etwa zu Diagno- 
sen, Tests und medizinischen Untersu- 
chungen, sowie automatisch erfasste 
und aufgezeichnete Daten umfassen. 

Die Sekundärnutzung von Gesund- 
heitsdaten im Rahmen des EHDS sollte 
es öffentlichen, privaten, nicht ge- 
winnorientierten Einrichtungen sowie 
einzelnen Forschern ermöglichen, für 
die in der vorliegenden Verordnung 
festgelegten Zwecke Zugang zu Gesund- 
heitsdaten für Forschung, Innovation, 
Politikgestaltung, Bildung, Patientensi- 
cherheit, Regulierungstätigkeiten oder 
personalisierte Medizin zu erhalten. Der 
Zugang zu Daten für die Sekundärnut- 
zung sollte dem allgemeinen Interesse 
der Gesellschaft dienen. 

Zu den Tätigkeiten, für die der Zugang 
im Rahmen dieser Verordnung rechtmä- 
Big ist, kann die Nutzung elektroni- 
scher Gesundheitsdaten durch öffentli- 
che Stellen für die Wahrnehmung ihrer 
Aufgaben gehören, darunter öffentli- 
che Aufgaben wie Gesundheitsüberwa- 
chung, Planung und Berichterstattung, 
Gestaltung der Gesundheitspolitik sowie 
Sicherstellung der Patientensicherheit, 
der Qualität der Versorgung und der 
Nachhaltigkeit der Gesundheitssyste- 
me. Für öffentliche Einrichtungen und 
Organe, Einrichtungen und sonstige 
Stellen der Union kann der regelmäßige 
Zugang zu elektronischen Gesundheits- 
daten über einen längeren Zeitraum er- 
forderlich sein, auch zur Erfüllung ihres 
Mandats nach Maßgabe dieser Verord- 
nung. Öffentliche Stellen können solche 
Forschungstätigkeiten unter Einbezie- 
hung von Dritten, einschließlich Unter- 
auftragnehmern, durchführen, solange 
die öffentliche Stelle jederzeit die Auf- 
sicht über diese Tätigkeiten ausübt. 


Mit der Bereitstellung der Daten 
sollten auch Tätigkeiten unterstützt 
werden, die mit wissenschaftlicher 
Forschung (einschließlich privater For- 
schung), Entwicklung und Innovation 
oder der Herstellung von Waren und 
Dienstleistungen für den Gesundheits- 
oder Pflegesektor zusammenhängen, 
wie Innovationstätigkeiten oder das 
Trainieren von KI-Algorithmen, die die 
Gesundheit natürlicher Personen schüt- 
zen oder Pflegetätigkeiten unterstützen 
könnten. In einigen Fällen könnten die 
Informationen zu bestimmten natürli- 
chen Personen (z. B. Genomdaten na- 
türlicher Personen mit einer bestimm- 
ten Krankheit) die Diagnose oder Be- 
handlung anderer natürlicher Personen 
unterstützen. 

Für öffentliche Stellen ist es erforder- 
lich, über den für Notlagen ausgelegten 
Geltungsbereich von Kapitel V der Ver- 
ordnung [...] [Datengesetz (COM(2022) 
68 final)] hinauszugehen. Die öffentli- 
chen Stellen können jedoch die Stellen 
für den Zugang zu Gesundheitsdaten 
um Unterstützung bei der Verarbeitung 
oder Verlinkung von Daten ersuchen. 
Die vorliegende Verordnung sieht zwar 
einen Kanal vor, über den öffentliche 
Stellen Zugang zu Informationen er- 
halten können, die sie zur Erfüllung der 
ihnen gesetzlich übertragenen Aufga- 
ben benötigen, erweitert jedoch nicht 
das Mandat dieser Öffentlichen Stellen. 
Jedes Bestreben, die Daten für Maßnah- 
men zum Nachteil der betroffenen na- 
türlichen Person zu verwenden, Versi- 
cherungsbeiträge zu erhöhen, Produkte 
oder Behandlungen zu bewerben oder 
schädliche Produkte zu entwickeln, 
sollte verboten werden. 


EDPB-EDPS Joint Opinion 03/2022 on 
the Proposal for a Regulation on the 
European Health Data Space, 12. Juli 
2022: 

The EDPB and the EDPS note thatthe 
provisions in this Proposal will add yet 
another layer to the already complex 
(multi-layered) collection of provisions 
(to be found both inthe EU and Member 
States law) on the processing of health 
data (in the health care sector). The in- 
terplay between those different pieces 
oflegislation needs to be (crystal) clear. 

The EDPB and the EDPS also strongly 
recommend to not extend the scope of 


DANA « Datenschutz Nachrichten 1/2023 


the GDPR exceptions regarding the data 
subject’s rights to the Proposal and in 
particular in Article 38(2) of the Pro- 
posal. Such exemption undermines the 
possibility for data subjects to exercise 
an effective control over their personal 
data rather than strengthen it and thus 
appears to be at odds with the objective 
laid down in Article 1(2)(a) ofthe Pro- 
posal. 

The EDPB and the EDPS acknowledge 
the provisions in Chapter IIIthat aim to 
improve the interoperability of Electro- 
nic Health Records and to facilitate the 
connectivity of wellness-apps with such 
electronic health records. However, the 
EDPB and the EDPS are of the opinion 
thatthe latter should not be included in 
the secondary use of health data under 
Chapter IV of the Proposal. First, be- 
cause health data generated by wellness 
applications and other digital health 
applications do not have the same data 
quality requirements and characteris- 
tics of those generated by medical de- 
vices. Moreover, these applications ge- 
nerate an enormous amount of data and 
can be highly invasive since it relates 
to every step individuals takes in their 
everydaylives. Evenifhealth data could 
beindeed separated from other kinds of 
data, inferences such as food practices 
and other habits could be easily made, 
revealing particularly sensitive informa- 
tion such as religious orientation. 

As to the purposes for secondary use 
ofhealth data listed under Article 34(1) 
ofthe Proposal, the EDPB and the EDPS 
understand that Articles 34(1)(f) and 
(g) of the Proposal possibly encompass 
any form of ‚development and innova- 
tion activities for products or services 
contributing to public health or soci- 
al security‘ or ‚training, testing and 
evaluation of algorithms, including in 
medical devices, AI systems and digi- 
tal health applications, contributing 
to public health or social security”. The 
EDPB and the EDPS are ofthe view that 
the Proposal should further delineate 
these purposes and circumscribe when 
there is a sufficient connection with 
public health and/or social security. 
This will be crucial to achieve a balance 
adequately taking into account the ob- 
jectives pursued bythe Proposalandthe 
protection of personal data ofthe data 
subjects affected bythe processing. 


DANA ® Datenschutz Nachrichten 1/2023 


Übersetzt mit www.DeepL.com/ 
Translator (kostenlose Version): 

Der EDSA und der EDSB stellen fest, 
dass die Bestimmungen in diesem Vor- 
schlag der bereits komplexen (viel- 
schichtigen) Sammlung von Bestim- 
mungen (die sowohl im EU-Recht als 
auch im Recht der Mitgliedstaaten zu 
finden sind) über die Verarbeitung von 
Gesundheitsdaten (im Gesundheitswe- 
sen) noch eine weitere Ebene hinzufü- 
gen werden. Das Zusammenspiel zwi- 
schen diesen verschiedenen Rechtsak- 
ten muss (kristallklar) sein. [...] 


« Abkürzung: AIA 
e Kurzname: Artificial Intelligence Act 


« Vorschlag für eine VERORDNUNG 
DES EUROPÄISCHEN PARLAMENTS 
UND DES RATES ZUR FESTLEGUNG 
HARMONISIERTER VORSCHRIFTEN 
FÜR KÜNSTLICHE INTELLIGENZ 
(GESETZ ÜBER KÜNSTLICHE INTEL- 
LIGENZ) UND ZUR ÄNDERUNG BE- 
STIMMTER RECHTSAKTE DER UNION 


« Stand am 1. Februar 2023: 
1. Lesung im EP, informelle Ver- 
handlung mit dem Rat 


« Legislativvorgang: 2021/0106/COD 
« Kommissionsvorschlag 


COM/2021/206/FINAL vom 22. 
April 2021 


Aus der Begründung: 

Künstliche Intelligenz bezeichnet 
eine Reihe von Technologien, die sich 
rasant entwickeln und zu vielfältigem 
Nutzen für Wirtschaft und Gesellschaft 
über das gesamte Spektrum industriel- 
ler und gesellschaftlicher Aktivitäten 
hinweg beitragen können. Durch die 
Verbesserung der Vorhersage, Optimie- 
rung der Abläufe, Ressourcenzuweisung 
und Personalisierung digitaler Lösun- 
gen, die Einzelpersonen und Organisa- 
tionen zur Verfügung stehen, kann die 
Verwendung künstlicher Intelligenz 
den Unternehmen wesentliche Wettbe- 
werbsvorteile verschaffen und zu guten 
Ergebnissen für Gesellschaft und Um- 
welt führen, beispielsweise in den Be- 
reichen Gesundheitsversorgung, Land- 
wirtschaft, allgemeine und berufliche 
Bildung, Infrastrukturmanagement, 
Energie, Verkehr und Logistik, öffentli- 
che Dienstleistungen, Sicherheit, Jus- 


tiz, Ressourcen- und Energieeffizienz 
sowie Klimaschutz und Anpassung an 
den Klimawandel. 

Gleichzeitig kann künstliche Intel- 
ligenz je nach den Umständen ihrer 
konkreten Anwendung und Nutzung Ri- 
siken mit sich bringen und öffentliche 
Interessen und Rechte schädigen, die 
durch das Unionsrecht geschützt sind. 
Ein solcher Schaden kann materieller 
oder immaterieller Art sein. 

Daher ist ein Rechtsrahmen der Uni- 
on mit harmonisierten Vorschriften für 
künstliche Intelligenz erforderlich, 
um die Entwicklung, Verwendung und 
Verbreitung künstlicher Intelligenz im 
Binnenmarkt zu fördern und gleich- 
zeitig einen hohen Schutz öffentlicher 
Interessen wie Gesundheit und Sicher- 
heit und den Schutz der durch das Uni- 
onsrecht anerkannten und geschützten 
Grundrechte zu gewährleisten. Zur Um- 
setzung dieses Ziels sollten Vorschriften 
für das Inverkehrbringen und die In- 
betriebnahme bestimmter KI-Systeme 
festgelegt werden, um das reibungslo- 
se Funktionieren des Binnenmarkts zu 
gewährleisten, sodass diesen Systemen 
der Grundsatz des freien Waren- und 
Dienstleistungsverkehrs zugutekom- 
men kann. Durch die Festlegung dieser 
Vorschriften unterstützt die Verordnung 
das vom Europäischen Rat formulierte 
Ziel der Union, bei der Entwicklung ei- 
ner sicheren, vertrauenswürdigen und 
ethisch vertretbaren künstlichen In- 
telligenz weltweit eine Führungsrolle 
einzunehmen, und sorgt für den vom 
Europäischen Parlament ausdrücklich 
geforderten Schutz von Ethikgrundsät- 
zen. 


EDSA-EDSB Gemeinsame Stellung- 
nahme 5/2021 zum Vorschlag für 
eine Verordnung des Europäischen 
Parlaments und des Rates zur Fest- 
legung harmonisierter Vorschriften 
für künstliche Intelligenz (Gesetz 
über künstliche Intelligenz) und zur 
Änderung bestimmter Rechtsakte der 
Union, 18. Juni 2021: 

Der EDSA und der EDSB stellen fest, 
dass die Rechtsgrundlage für den Vor- 
schlag in erster Linie Artikel 114 des 
Vertrags über die Arbeitsweise der Eu- 
ropäischen Union (AEUV) ist. Darüber 
hinaus beruht der Vorschlag auch auf 
Artikel 16 AEUV, insofern er spezifische 


Regeln über den Schutz natürlicher 
Personen bei der Verarbeitung perso- 
nenbezogener Daten enthält, vor allem 
Einschränkungen der Verwendung von 
KI-Systemen zur biometrischen Ferni- 
dentifizierung in Echtzeit in öffentlich 
zugänglichen Räumen für die Zwecke 
der Strafverfolgung. Der EDSA und der 
EDSB erinnern daran, dass Artikel 16 
AEUV nach der Rechtsprechung des 
Gerichtshofs der Europäischen Union 
(EuGH) eine geeignete Rechtsgrund- 
lage darstellt, wenn der Schutz perso- 
nenbezogener Daten eines der wesent- 
lichen Ziele oder Komponenten der vom 
Unionsgesetzgeber erlassenen Regeln 
ist. Mit der Anwendung von Artikel 16 
AEUV geht, was die Anforderungen an 
die Verarbeitung personenbezogener 
Daten betrifft, das Erfordernis einher, 
die Überwachung der Einhaltung der 
Regeln durch eine unabhängige Stelle 
sicherzustellen, was auch nach Artikel 8 
der Charta der Grundrechte der Europäi- 
schen Union erforderlich ist. Die biome- 
trische Fernidentifizierung natürlicher 
Personen in öffentlich zugänglichen 
Räumen birgt ein hohes Risiko, dass die 
Privatsphäre natürlicher Personen ver- 
letzt wird, und läuft der Erwartung der 
Bevölkerung, im öffentlichen Raum an- 
onym zu bleiben, fundamental zuwider. 
Aus diesen Gründen erheben der EDSA 
und der EDSB die Forderung nach einem 
allgemeinen Verbot der Verwendung 
von KI zur automatischen Erkennung 
von personenbezogenen Merkmalen in 
öffentlich zugänglichen Räumen, und 
zwar in jeglichem Zusammenhang; sol- 
che Merkmale sind z. B. Gesichtszüge, 
aber auch Gangart, Fingerabdrücke, 
DNA, Stimme, Tastenanschlagsmuster 
und andere biometrische Merkmale 
oder Verhaltenssignale. 

Der EDSA und der EDSB begrüßen die 
Benennung des EDSB als die zuständige 
Behörde und Marktüberwachungsbe- 
hörde für die Aufsicht über die Organe, 
Einrichtungen und sonstigen Stellen 
der Union. Die Rolle und die Aufgaben 
des EDSB sollten jedoch genauer spezi- 
fiziert werden, vor allem in Bezug auf 
seine Rolle als Marktüberwachungsbe- 
hörde. Des Weiteren sollte in der künfti- 
gen KI-Verordnung die Unabhängigkeit 
der Aufsichtsbehörden in der Wahrneh- 
mung ihrer Aufsichts- und Durchset- 
zungsaufgaben klargestellt werden. Die 
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Benennung der Datenschutzbehörden 
(DSB) als nationale Aufsichtsbehörden 
würde einen einheitlicheren Regulie- 
rungsansatz ermöglichen und dazu 
beitragen, dass die Mitgliedstaaten die 
Datenverarbeitungsvorschriften ein- 
heitlich auslegen und Widersprüche in 
deren Durchsetzung vermeiden. Der 
EDSA und der EDSB sind deshalb der 
Auffassung, dass die Datenschutzbe- 
hörden als zuständige nationale Auf- 
sichtsbehörden im Sinne von Artikel 59 
des Vorschlags benannt werden sollten. 


« Abkürzung: ePR 
« Kurzname: ePrivacy Regulation 


« Vorschlag für eine VERORDNUNG 
DES EUROPÄISCHEN PARLAMENTS 
UND DES RATES über die Achtung 
des Privatlebens und den Schutz 
personenbezogener Daten in der 
elektronischen Kommunikation 
und zur Aufhebung der Richtlinie 
2002/58/EG (Verordnung über Pri- 
vatsphäre und elektronische Kom- 
munikation) 


Stand am 1. Februar 2023: Infor- 
melle Verhandlungen zwischen EP 
und Rat, seit 2021 
Legislativvorgang: 2017/0003(COD) 
Kommissionsvorschlag: 
COM/2017/10/FINAL vom 

11. Januar 2017 


Aus den Erwägungsgründen: 

Die e-Privacy-Richtlinie gewährleis- 
tet den Schutz von Grundrechten und 
Grundfreiheiten, insbesondere die Ach- 
tung des Privatlebens, die Wahrung der 
Vertraulichkeit der Kommunikation und 
den Schutz personenbezogener Daten 
im Bereich der elektronischen Kommu- 
nikation. Außerdem gewährleistet sie 
den freien Verkehr von elektronischen 
Kommunikationsdaten, -geräten und 
-diensten in der Union. Sie bewirkt hin- 
sichtlich der Kommunikation die Um- 
setzung des in Artikel 7 der Charta der 
Grundrechte der Europäischen Union 
(„Charta“) verankerten Grundrechts auf 
Achtung des Privatlebens im Sekundär- 
recht der Union. 

Die e-Privacy-Richtlinie ist Teil des 
Rechtsrahmens für die elektronische 
Kommunikation. Im Jahr 2016 nahm 
die Kommission den Vorschlag für eine 


Richtlinie über den europäischen Kodex 
für die elektronische Kommunikation 
(„Kodex“) an, mit dem der Rechtsrah- 
men überarbeitet wird. Der vorliegende 
Vorschlag ist zwar kein Bestandteil des 
Kodex, er beruht aber teilweise auf da- 
rin enthaltenen Begriffsbestimmungen 
wie der für „elektronische Kommuni- 
kationsdienste”. Wie der Kodex erfasst 
auch der vorliegende Vorschlag OTT-An- 
bieter in seinem Anwendungsbereich, 
um der Marktwirklichkeit Rechnung zu 
tragen. Überdies ergänzt der Kodex die- 
sen Vorschlag, indem er die Sicherheit 
elektronischer Kommunikationsdienste 
gewährleistet. 


Empfehlungen des EDSB zu be- 
stimmten Aspekten der vorgeschla- 
genen Verordnung über Privatsphäre 
und elektronische Kommunikation, 
5. Oktober 2017: 

Die Verordnung über Privatsphäre und 
elektronische Kommunikation sollte die 
Bedeutung des Grundsatzes der Vertrau- 
lichkeit der Kommunikation verdeutli- 
chen, der eng mit dem Recht auf Privat- 
leben verknüpft ist und somit durch die 
EU-Charta der Grundrechte, die Europä- 
ische Menschenrechtskonvention sowie 
die Verfassungs- und Rechtsordnungen 
der meisten Mitgliedstaaten geschützt 
ist. Unter die Vertraulichkeit der Kom- 
munikation fallen sowohl Inhaltsdaten 
und Metadaten als auch Endeinrich- 
tungen betreffende Daten. Dies sollte 
seinen angemessenen Ausdruck in den 
erlaubten Zwecken der Verarbeitung 
und in den Rechtsgrundlagen der Ver- 
arbeitung finden. Diese Erwägungen 
beziehen sich auf alle Bestimmungen 
der Verordnung über Privatsphäre und 
elektronische Kommunikation. 

Die Verordnung über Privatsphäre und 
elektronische Kommunikation sollte ei- 
nen echten Schutz im Einklang mit be- 
stehenden und künftig zu erwartenden 
technologischen Entwicklungen bieten, 
insbesondere mit Blick auf Maschine- 
zu-Maschine-Kommunikation. Insofern 
unterstützen wir Änderungsanträge, die 
ausdrücklich den Schutz der Vertrau- 
lichkeit der Kommunikation für „Da- 
ten” fordern, „die im Zusammenhang 
mit Endgeräten stehen oder von diesen 
verarbeitet werden”. Die Vertraulich- 
keit der Kommunikation sollte ferner 
gewährleistet sein, wenn Daten in der 
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Cloud gespeichert werden, und nicht 
nur bei der Übermittlung. 

Der Ansatz, demzufolge die Verord- 
nung über Privatsphäre und elektroni- 
sche Kommunikation die Datenschutz- 
Grundverordnung spezifiziert und er- 
gänzt, sollte beibehalten werden, um 
die Bedeutung der Vertraulichkeit der 
Kommunikation zu unterstreichen. Die 
Verordnung über Privatsphäre und elek- 
tronische Kommunikation sollte das 
in der Datenschutz-Grundverordnung 
vorgesehene Schutzniveau keinesfalls 
senken. Vielmehr sollte ein höheres 
Schutzniveau als das in der Daten- 
schutz-Grundverordnung vorgesehene 
geboten werden. Gleichzeitig sollten 
im Sinne von Klarheit und Rechtssi- 
cherheit unnötige Wiederholungen von 
Bestimmungen der Datenschutz-Grund- 
verordnung vermieden werden; werden 
selektiv nur einige Bestimmungen der 
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Datenschutz-Grundverordnung wieder- 
holt, besteht die Gefahr, dass wichtige 
Bestimmungen dabei nicht erfasst wer- 
den. 

Eine breit angelegte Rechtsgrundlage 
für die Verarbeitung von Kommunikati- 
onsdaten durch Verweis auf die Daten- 
schutz-Grundverordnung oder durch 
Zitieren der Datenschutz-Grundverord- 
nung wäre der Begründung eines spe- 
zifischen Rechtsinstruments abträglich 
und würde der Bedeutung des Grund- 
satzes der Vertraulichkeit der Kommu- 
nikation nicht angemessen gerecht, wie 
er sowohl in der Charta der Grundrech- 
te als auch in der Rechtsprechung von 
EuGH und EGMR verankert ist. So sollte 
nach der Verordnung über Privatsphäre 
und elektronische Kommunikation auf 
keinen Fall die Möglichkeit einer Ver- 
arbeitung von Metadaten aus Gründen 
des berechtigten Interesses gegeben 


sein. Die Erlaubnis einer Verarbeitung 
aus Gründen des berechtigten Interes- 
ses würde die heute gemäß der Daten- 
schutzrichtlinie für elektronische Kom- 
munikation 2002/58/EG anzuwenden- 
den Standards spürbar senken und den 
Mehrwert des Verordnungsentwurfs in 
Frage stellen. In ähnlicher Weise würde 
die Weiterverarbeitung von Metadaten 
ein Schlupfloch schaffen und ein Umge- 
hen des hohen Schutzniveaus ermögli- 
chen. Endgeräte betreffende Daten soll- 
ten nur nach Einwilligung oder in Fällen 
verarbeitet werden, in denen dies für 
einen vom Nutzer verlangten Dienst er- 
forderlich ist, und dann auch nur so lan- 
ge, wie es für diesen Zweck erforderlich 
ist. Wir unterstützen daher Änderungs- 
anträge, die die breit angelegte Rechts- 
grundlage für das Tracking natürlicher 
Personen über Zeit und Raum zu allen 
Zwecken streichen. 


Datenschutz und Datenhandel - Friktionen in der 
europäischen Digitalpolitik* 


I. Einleitung 


Glaubt man der Europäischen Kom- 
mission, so befinden wir uns auf dem 
„Weg ins digitale Jahrzehnt”. Seit dem 
Frühjahr 2020 bringt die EU in hohem 
Tempo immer neue Rechtsakte zur Re- 
gulierung der digitalen Transformation 
auf den Weg, wobei häufig auf die von 
der „High Level Expert Group on AI” er- 
arbeiteten Standards Bezug genommen 
wird.’ Zu den wichtigsten Neuerungen 
gehören der „Digital Markets Act”?, 
der „Digital Services Act”?, der Entwurf 
einer KI-Verordnung® und zuletzt der 
überaus ambitionierte Vorschlag zu ei- 
nem neuen „Data Act”°. Ziel der EU ist 
es einen belastbaren Rechtsrahmen für 
die Digitale Transformation in Europa 
zu schaffen, Sicherheit in den Netzen 
zu gewährleisten und gleichzeitig den 
Übergang vom traditionellen „Daten- 
schutz” zur gemeinwohlfördernden 
„Datennutzung” in die Wege zu leiten.‘ 
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Zu den genannten großen Rechts- 
akten tritt noch eine Vielzahl kleiner 
Regulierungen und Regulierungsvor- 
schläge hinzu. Eine aktuelle Übersicht 
auf einer Internetseite des Europäischen 
Parlaments zählt sage und schreibe 101 
solcher Rechtsakte auf.’ Selbst für Spezi- 
alistinnen und Spezialisten ist es kaum 
möglich, hier noch einen Überblick zu 
behalten, zumal sich die Regelungsvor- 
schläge auf sämtliche Rechtsgebiete 
erstrecken. Es kommt zu offenkundigen 
Überschneidungen, gelegentlich auch 
zu Widersprüchen, die sich teilweise zwi- 
schen den Entwürfen ergeben, mehr aber 
noch im Verhältnis zu älteren EU-Rege- 
lungen. So ist etwa unklar, wie sich die 
Vorschriften im Entwurf der neuen KI- 
Verordnung über Hochrisiko-KI-Systeme 
mit dem überkommenen EU-Produkthaf- 
tungsrecht vereinbaren lassen sollen.? 
Meine Vermutung geht dahin, dass selbst 
die gesetzesvorbereitenden Kommissi- 
onsmitarbeiterinnen und -mitarbeiter 


nicht immer ihre Vorschläge hinreichend 
aufeinander abstimmen. 

Über die Gründe für dieses hohe - vie- 
le würden sagen: zu hohe - Tempo kann 
man nur spekulieren. Eine Erklärung 
könnte sein, dass es die Kommission 
vermeiden möchte, von den großen Di- 
gitalkonzernen weiterhin vor vollende- 
te Tatsachen gestellt zu werden. Dazu 
passt, dass immer wieder hochrangige 
Kommissionsmitarbeiter oder sogar Mit- 
glieder der Kommission selbst mit der 
Aussage zitiert werden, es ginge darum, 
Internet und Datenwirtschaft endlich 
gemeinwohlverträglich zu regulieren.? 

Die Entwürfe haben nach meinem 
Eindruck ganz überwiegend ein hohes 
Niveau und könnten tatsächlich dazu 
beitragen, die Digitalwirtschaft in Eu- 
ropa in einer grundrechtssensitiven, 
verbraucherfreundlichen und gemein- 
wohlorientierten Weise zu regulieren. 
Dennoch führt das Tempo, in welchem 
die Requlierungsvorhaben aufeinander- 
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folgen, wie nicht anders zu erwarten, 
zu teilweise erheblichen Friktionen. 
Besonders problemträchtig, und das ist 
das Thema, zu dem ich heute vor Ihnen 
sprechen darf, ist die deutliche Span- 
nung, die zwischen der Datenschutz- 
Grundverordnung und neuen gesetz- 
geberischen Vorstößen in Richtung auf 
die Schaffung einer europäischen Da- 
tenökonomie besteht. 


II. Überblick über die neuen Rechts- 
akte 


Im Data Governance Act, vorgestellt am 
25. November 2020 und am 23.06.2022 in 
Kraft getreten, geht es darum, die Verfüg- 
barkeit und den Austausch von Daten als 
dem „Öl des 21. Jahrhunderts” zwischen 
Privatpersonen, Unternehmen und der 
öffentlichen Hand zu erleichtern. Daten 
aus Bereichen wie Agrarwirtschaft, Ge- 
sundheit, Mobilität und Umwelt sollen 
effektiver für das Gemeinwohl genutzt 
werden. Dies betrifft nicht bloß wirt- 
schaftliche Effizienz und Wertschöpfung, 
sondern auch den Einsatz von Daten in 
Forschung und Innovation, ein Gesichts- 
punkt, dessen große Bedeutung die Co- 
rona-Pandemie unübersehbar vor Augen 
geführt hat. In der Verordnung werden 
neue Akteure, etwa neutrale Datentreu- 
händer und Datenmittler, definiert. Im 
Data Governance Act wird des Weiteren 
die Möglichkeit einer Datenspende, also 
die freiwillige Bereitstellung von Daten 
durch einzelne Personen oder Unterneh- 
men zur Förderung des Gemeinwohls, be- 
handelt. In diesem Zusammenhang sol- 
len auch sogenannte „datenaltruistische 
Organisationen” entstehen, welche den 
freien Fluss der Daten fördern. 

Im Digital Services Act (DSA) vom 15. 
Dezember 2020"° geht es im Kern darum 
die großen Internetanbieter, insbeson- 
dere die Anbieter von Online-Plattfor- 
men und sozialen Medien, stärkerin die 
Pflicht zu nehmen, indem ihnen unter 
anderem detaillierte Sorgfalts- und Re- 
chenschaftspflichten auferlegt werden. 
Dazu knüpft der DSA an das deutsche 
Netzwerkdurchsetzungsgesetz an und 
bildet es fort. Plattformbetreiber wer- 
den verpflichtet, Transparenz zu schaf- 
fen, Nutzern Widerspruchsmöglichkei- 
ten zu geben, zügig gegen rechtswidrige 
Inhalte vorzugehen und besser mit den 
staatlichen Behörden zu kooperieren. 
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Zusammen mit dem Digital Services 
Act wurde am 15. Dezember 2020 auch 
der Vorschlag für eine Verordnung über 
„faire Märkte im digitalen Sektor” (Di- 
gital Markets Act, DMA) publiziert.'! 
Ziel dieses Rechtsaktes ist es, mehr 
Wettbewerb auf den europäischen di- 
gitalen Märkten zu sichern. Dazu wird 
als neues Konzept der sog „Gatekeeper” 
eingeführt. Gatekeeper ist nach Art. 3 
Abs. 1 DMA jeder Betreiber eines zent- 
ralen Plattformdienstes (Art. 1 Abs. 2 
DMA), der erhebliche Auswirkungen 
auf den Binnenmarkt hat, gewerblichen 
Nutzern als Zugangstor zu Endnutzern 
dient und der hinsichtlich seiner Tätig- 
keiten eine gefestigte und dauerhafte 
Position innehat oder absehbar in Kürze 
erlangen wird. Letztlich geht es also um 
Plattform-Unternehmen mit besonders 
großer Marktmacht. In Art. 3 Abs. 2 
DMA werden quantitative Kriterien auf- 
gestellt (45 Millionen Endnutzer bzw. 
10.000 gewerbliche Nutzer in der EU). 
Besonders einschneidend ist die Festle- 
gung des Digital Market Acts, dass Gate- 
keeper Daten unterschiedlicher Online- 
dienste nicht mehr kombinieren dürfen. 
Dies bedeutet unter anderem, dass Re- 
geln für Instagram, WhatsApp und Face- 
book neu gestaltet werden müssten. In 
ähnlicher Weise sind auch andere Gate- 
keeper wie Microsoft, Google, Apple und 
Amazon betroffen. 

Der Entwurf eines Artificial Intelli- 
gence Act (AIA) vom 21. April 2021"? 
sieht vor, KI-Technologie in Risikoklas- 
sen zu unterteilen. Besonders gefähr- 
liche Technologien, etwa solche, die 
zur unbewussten Beeinflussung von 
Menschen eingesetzt werden könnten, 
werden verboten. In eine zweite Kate- 
gorie fallen sogenannte Hochrisiko- 
Technologien, etwa KI-Systeme, die im 
Bereich der Bewerberauswahl, in Straf- 
verfahren, im Straßenverkehr oder für 
Grenzkontrollen eingesetzt werden 
sollen. Der Einsatz derartiger Techno- 
logien ist zwar zulässig, wird aber de- 
tailliert reguliert. Dagegen gelten für 
weniger gefährliche bzw. ungefährli- 
che KlI-Technologien lediglich Trans- 
parenzpflichten. Bemerkenswert am 
AI Act ist das sehr weite Verständnis 
von Künstlicher Intelligenz, das dazu 
führen könnte, dass große Teile der 
Digitaltechnik dem AI Act unterfallen. 
Ergänzt wird der AI Act durch die neu- 


en Vorschläge für ein modernisiertes 
KI-Haftungsrecht."® 

Zu nennen ist schließlich auch der 
Entwurf eines Data Act vom 23. Februar 
2022,'* der ähnlich wie der Data Gover- 
nance Act den Zugang und Handel mit 
Daten erleichtern soll. Dazu wurde im 
Februar 2022 auch ein Vorschlag zu 
einer methodologischen Analyse der 
Datenströme in der EU publiziert." Ziel 
des Data Acts ist es, Datensilos aufzu- 
brechen und so ein innovations- und 
handelsfreundliches Umfeld für die 
Wertschöpfung aus Daten zu ermögli- 
chen. Auch im Data Act finden sich Re- 
gelungen gegen sog. „Gatekeeper”. 

Juristisch geht es in den genannten 
Rechtsakten um die Weiterentwicklung 
des tradierten Datenschutzrechtes zu ei- 
nem allgemeinen Datenrecht; wirtschaft- 
lich um die Realisierung der mit Daten 
heute denkbaren Wertschöpfung und 
politisch um das Aufbrechen von „Da- 
tensilos” und die Einhegung der Tech- 
Giganten, welche die weitgehend unre- 
gulierte Datenlandschaft der vergange- 
nen zwei Jahrzehnte dazu genutzt haben 
ungeheure Reichtümer aufzuhäufen und 
Quasi-Monopole zu errichten, deren po- 
litische und wirtschaftliche Gefahren 
mittlerweile immer deutlicher werden.‘ 

Will man die skizzierte Entwicklung 
auf eine knappe Formel bringen, so 
könnte man sagen, dass das tradierte 
Datenschutzrecht zu einem allgemei- 
nen europäischen Datenrecht weiter- 
entwickelt werden soll.’ Die potentiell 
weit über Europa hinausreichende Wirk- 
samkeit der neuen Rechtsakte wird von 
der Kommission durchaus erkannt und 
offen ausgesprochen. Dahinter steht 
das Phänomen des „Brussels Effect”, der 
sich daraus ergibt, dass US-Konzerne, 
um auf dem Europäischen Markt erfolg- 
reich zu sein, rechtliche EU-Vorgaben 
häufig bei ihren Geschäftsmodellen 
und der Gestaltung ihrer Produkte be- 
rücksichtigen.'® Der „Brussels Effect” 
beruht also auf ökonomischem Kalkül, 
nicht unbedingt auf Anerkennung einer 
Überlegenheit der Europäischen Gesetz- 
gebung. Die gegenwärtigen politischen 
und ökonomischen Entwicklungen, die 
die Stellung der USA gegenüber Euro- 
pa erheblich verstärkt haben und wohl 
auch noch weiter verstärken werden, 
dürften dazu beitragen, den „Brussels 
Effect” deutlich abzuschwächen. 
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Künftig lassen sich drei große Teilbe- 
reiche des Datenrechtes unterscheiden: 
das Datenwirtschaftsrecht, in dem es 
um die Verfügbarkeit und den Handel 
mit Daten geht, das traditionelle Da- 
tenschutzrecht, welches den Schutz des 
Rechts auf informationelle Selbstbe- 
stimmung regelt und daher den Umgang 
mit Daten einschränkt, und schließlich 
das Internet- und Datenstrafrecht.” 
Im Folgenden sollen nur die ersten bei- 
den Bereiche des Datenrechts, also das 
Datenwirtschaftsrecht und das Daten- 
schutzrecht, angesprochen werden. 


III. Das klassische Datenschutzrecht 


Datenschutz ist Grundrechtsschutz. 
Geschützt wird das Recht auf informati- 
onelle Selbstbestimmung, welches vom 
Bundesverfassungsgericht in seinem 
berühmten Volkszählungsurteil?® aus 
der Menschenwürde und dem Grund- 
recht auf allgemeine Handlungsfreiheit 
hergeleitet wurde. 

In diesem Urteil wurden auch die 
bis heute gültigen Grundsätze des Da- 
tenschutzrechtes entwickelt. „Nach 
diesen Grundsätzen”, so formuliert es 
Rossnagel, „ist jeder Umgang mit per- 
sonenbezogenen Daten ein Eingriff in 
das Grundrecht auf informationelle 
Selbstbestimmung. Er soll daher soweit 
möglich vermieden werden. Zulässig 
ist er nur, wenn der Gesetzgeber durch 
einen Erlaubnistatbestand oder der 
Betroffene durch seine Einwilligung 
ihn hinsichtlich Umfang und Zweck ge- 
billigt haben. Er muss dem Betroffenen 
gegenüber durch Unterrichtung, Be- 
nachrichtigung oder Auskunft trans- 
parent gemacht werden, um ihm die 
Überprüfung der Rechtmäßigkeit und 
die Geltendmachung seiner Mitwir- 
kungsrechte zu ermöglichen. Der Um- 
gang mit den Daten ist auf den gebillig- 
ten Zweck beschränkt und darf nur so 
weit und so lange erfolgen, wie dies für 
die Erreichung dieses Zwecks erforder- 
lich ist. Diese Grundsätze sind durch 
technisch-organisatorische Maßnah- 
men abzusichern. Dem Betroffenen 
stehen Mitwirkungsrechte und Rechte 
auf Schadensersatz zu.”?' 

Diese Grundsätze stehen offenkun- 
dig in Widerspruch zu wesentlichen 
Zielsetzungen der neuen EU-Datenge- 
setze: Einerseits geht es um den Schutz 
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ganz bestimmter, nämlich personen- 
bezogener Daten, andererseits um das 
Verfügbarmachen und den Handel mit 
Daten, wobei die Unterscheidung zwi- 
schen personenbezogenen und nicht 
personenbezogenen Daten offenbar 
keine entscheidende Rolle mehr spie- 
len soll. Dasselbe gilt für den Grund- 
satz der Datensparsamkeit - bei „Big 
Data” geht es ganz im Gegenteil darum, 
möglichst viele Daten zu erheben und 
zu speichern. Und auch der Grundsatz 
der Zweckbindung passt nicht zur neu- 
en ökonomischen Betrachtungsweise; 
vielmehr sind Daten umso wertvoller, 
desto umfassender und vielfältiger sie 
sich auswerten und zur Wertschöpfung 
einsetzen lassen. 

Über die neuen EU-Regularien hinaus 
steht der Datenschutz vor noch weiteren 
Herausforderungen. Ein Kernproblem 
des deutschen Datenschutzes besteht 
seit jeher darin, dass sich US-Konzerne 
eher widerwillig an deutsche Daten- 
schutzvorgaben halten. Bei Europäi- 
schen Datenschutzvorgaben sieht dies 
offenbar anders aus - der „Brussels Ef- 
fect” wurde bereits erwähnt. Die Daten- 
schutz-Grundverordnung (DSGVO) hat 
sich entgegen den Erwartungen vieler 
Beobachter in wenigen Jahren zu einer 
Art internationalem „Goldstandard” des 
Datenschutzes entwickelt. Allerdings 
sind die Regeln zum Datenschutz heute 
zu komplex; es kündigt sich eine Ent- 
wicklung ähnlich wie im Steuerrecht 
an, das so kompliziert ist, dass es rechts- 
staatlichen Anforderungen kaum mehr 
genügt. Datenschutz-Grundverordnung, 
Bundesdatenschutzgesetz und zahlrei- 
che Landesgesetze überschneiden sich 
in einer selbst für Experten nicht immer 
durchsichtigen Weise. 

Problematisch ist auch die Vielzahl 
der Vollzugsdefizite; es dürfte kein 
Rechtsgebiet geben, bei dem eine ver- 
gleichbare Kluft zwischen den gesetzli- 
chen Vorgaben und der Realität besteht. 
Nicht unproblematisch ist ferner die 
mangelnde Akzeptanz des Datenschut- 
zes in der Bevölkerung. Die Mehrzahl 
der Bürgerinnen und Bürger nimmt vom 
Datenschutz allenfalls oberflächlich 
Kenntnis. Es wäre deshalb fatal, wenn 
im Datenschutzrecht, in Kombination 
mit dem neuen Datenwirtschaftsrecht, 
eine Entwicklung fortgeführt würde, 
die auf mittlere Sicht die Gesellschaft 


vom Schutz der informationellen 
Selbstbestimmung entfremden könnte. 
Datenschutz ist nicht nur für das Indi- 
viduum nach wie vor von überragen- 
der Bedeutung,?? sondern besitzt auch 
eine besondere politische Dimension, 
eine Bedeutung für Demokratie und 
Gemeinwohl, wie sie sonst wohl nur der 
Meinungsfreiheit zukommt. Herrschaft 
über die Daten der Bürgerinnen und 
Bürger bedeutet politische Macht. Die 
Gefahren gehen heute allerdings weni- 
ger vom Staat als vielmehr von privaten, 
demokratisch kaum mehr kontrollierba- 
ren Mega-Konzernen aus.” 

Auch wenn Datenschutz grundsätzlich 
bejaht wird, steht die eigene Lebenspra- 
xis dazu doch oft in erheblichem Wider- 
spruch. Ein Stichwort ist das sogenannte 
„Privacy-Paradox” - einerseits fordern 
wir Datenschutz, andererseits gehen 
wir mit unseren Daten selbst oft extrem 
sorglos um. Ein weiteres, kaum themati- 
siertes Problem sind Aktivisten, die sich 
einem absoluten Datenschutz verschrie- 
ben haben und echte oder vermeintliche 
Verstöße gegen den Datenschutz erbit- 
tert verfolgen. Gelegentlich geht dies 
so weit, dass der Verdacht entsteht, es 
handele sich um bewusst karikierende 
Übertreibungen, um den Datenschutz in 
der öffentlichen Meinung zu beschädi- 
gen.’ Häufig wird dabei verkannt, dass 
datenschutzrechtliche Vorgaben (fast) 
stets auch Ausnahmen kennen und der 
Abwägung zugänglich sind. Man könnte 
von einem fehlgeleiteten „Datenschutz- 
absolutismus” sprechen, der vor allem in 
der Pandemie eine teilweise überaus pro- 
blematische Rolle spielte. 

Datenschutz ist, um es noch einmal 
zu betonen, Grundrechtsschutz. Da- 
mit ist ein Datenschutzabsolutismus 
von vornherein nicht vereinbar. Für 
das Datenschutzrecht gilt der Verhält- 
nismäßigkeitsgrundsatz, der besagt, 
dass auch Grundrechte eingeschränkt 
werden können, wenn ein legitimes 
Ziel verfolgt, und die einschränkenden 
Maßnahmen zur Verfolgung des Zieles 
geeignet, erforderlich und außerdem 
angemessen sind. In der Corona-Pan- 
demie scheint die im Verhältnismäßig- 
keitsgrundsatz begründete Flexibilität 
und Anpassungsfähigkeit des Daten- 
schutzes von nicht wenigen Aktivisten 
und leider auch Politikern übersehen 
worden zu sein. 
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Ein weiteres Problem liegt darin, dass 
der Unterschied zwischen personenbe- 
zogenen und nicht personenbezogenen 
Daten mit dem technischen Fortschritt 
zunehmend problematisch geworden 
ist. Personenbezogen sind Daten auch 
dann, wenn sie zwar nicht unmittel- 
bar, aber doch mit einem vertretbaren 
technischen Aufwand auf eine konkre- 
te Person bezogen werden können. Mit 
dem technischen Fortschritt, der u.a. 
die Leistungsfähigkeit von Rechnern 
immer weiter erhöht, wird die Menge 
der Daten, die grundsätzlich mit ei- 
ner bestimmten Person in Verbindung 
gebracht werden kann, fortwährend 
größer. Dies hängt auch damit zusam- 
men, dass immer mehr Daten erhoben, 
gespeichert und daher auch mitein- 
ander verknüpft werden können, um 
bestimmte Personen zu identifizieren. 
Es erscheint denkbar, dass die Unter- 
scheidung zwischen personenbezoge- 
nen und nicht personenbezogenen Da- 
ten in wenigen Jahren obsolet werden 
könnte.” 

Die neuen EU-Vorgaben, gerade der 
Data Act, lassen die skizzierten Proble- 
me und Entwicklungen in einem beson- 
ders hellen Licht erscheinen. Einerseits 
strebt die EU eine zukunftsgerichtete 
Regulierung an, die die Verwertung von 
Daten zugunsten der Wirtschaft und des 
gemeinen Wohls erleichtern oder so- 
gar erst ermöglichen soll. Andererseits 
droht gerade der Data Act den Daten- 
schutz zu relativieren und im schlimms- 
ten Falle auszuhöhlen. Es lohnt sich 
deshalb, den neuen Rechtsakt etwas 
näher zu betrachten. 


IV. Die neuen Rechtsakte der EU 


Daten besitzen heutzutage nicht 
bloß mit Blick auf das Recht auf infor- 
mationelle Selbstbestimmung Bedeu- 
tung, sondern haben auch einen unter 
Umständen enormen wirtschaftlichen 
Wert. Sie sind, so sagt man häufig, das 
Öl des 21. Jahrhunderts. Der Vergleich 
passt nicht ganz, denn anders als Öl 
werden Daten durch ihre Verwendung 
nicht aufgebraucht, sondern stehen 
weiteren Verwendungsmöglichkeiten 
offen. Das steigert ihren Wert aber nur 
noch. Ihnen kommt deshalb eine ganz 
besondere Bedeutung auch und gerade 
für das Gemeinwohl zu. Der mit ihnen 
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erwirtschaftete Wohlstand kann Ar- 
beitsplätze sichern, hilft dabei, das Ge- 
sundheitssystem und den Sozialstaat 
zu finanzieren, und dient so indirekt 
dem Wohlergehen, der Gesundheit und 
der Verbesserung der Lebenschancen 
zahlloser Menschen. 

Diese neue Bedeutung besitzen nicht 
bloß personenbezogene, sondern auch 
und vielleicht sogar gerade nicht per- 
sonenbezogene Daten, etwa Daten, die 
in modernen Produktionsmaschinen 
oder in PKWs entstehen. Die Europä- 
ische Union versucht mit ihren neuen 
Rechtsakten, insbesondere dem Data 
Act, diesen wirtschaftlichen Wert zu 
heben, indem sie die Voraussetzungen 
einer europaweiten Datenökonomie, 
eines digitalen Binnenmarkes, zu defi- 
nieren versucht. Dabei wird wie schon 
erwähnt durchaus auch eine Wirkung 
über die europäischen Grenzen hinaus 
angestrebt.?‘ Die Zielsetzung des Ent- 
wurfs zu einem Europäischen „Daten- 
gesetz” (Data Act) lässt sich am besten 
durch ein Beispiel verdeutlichen: 

Anders als früher sind heute in einem 
PKW zahlreiche Sensoren verbaut, die 
gewaltige Datenmengen aufnehmen 
können. Solche Daten beziehen sich 
nicht bloß auf traditionelle Faktoren 
wie die Zahl der gefahrenen Kilometer 
oder die erreichte Höchstgeschwin- 
digkeit, sondern können auch etwa 
die Belastung von Bremsen relativ zu 
gefahrenen Kilometern und zur gefah- 
renen Geschwindigkeit oder Besonder- 
heiten der Fahrweise relativ zur befah- 
renen Strecke erfassen. Es liegt auf der 
Hand, dass etwa die Daten über die Be- 
lastung der Bremsen für die Hersteller 
von Bremsanlagen einen beträchtlichen 
ökonomischen Wert darstellen, ebenso 
für Unternehmen, die die Bremsen war- 
ten oder reparieren. 

Wer darf über diese Daten verfügen? 
Juristische Laien sind oft der Meinung, 
mit dem Eigentum am Fahrzeug gehe 
auch das Eigentum an den darin er- 
zeugten Daten einher. Diese Ansicht ist 
jedoch schon deshalb irrig, weil Daten 
mangels Körperlichkeit gar nicht eigen- 
tumsfähig sind. Ein Eigentum an Daten 
gibt es (noch?) nicht.?’ Es verstößt des- 
halb nicht gegen Rechte des Fahrzeug- 
Eigentümers, wenn der Hersteller etwa 
im Rahmen der Wartung oder aber auch 
per Funk die angesprochenen techni- 


schen Daten abzieht und dafür verwen- 
det, seine Produktion zu verbessern. 
Ähnliches ist heute Alltagspraxis. Al- 
lerdings wird man fragen dürfen, ob es 
in einer sozialen Marktwirtschaft nicht 
angemessen wäre, den Eigentümer an 
der Wertschöpfung mit „seinen“ Daten 
zu beteiligen. Diese Frage wurde von 
einem Teil des Schrifttums so beant- 
wortet, dass die Schaffung eines echten 
Dateneigentums gefordert wurde. Ein 
solches Eigentum an den Daten ließe 
sich dann etwa dem Fahrzeugkäufer zu- 
sprechen, der sodann mit dem Herstel- 
ler einen Vertrag über die Überlassung 
der Daten abschließen könnte. 

Für einen solchen Lösungsansatz 
lässt sich anführen, dass im Strafrecht 
bereits seit den neunziger Jahren eine 
Zuordnung von Daten via Skripturakt” 
angenommen wird. Der Schritt zu einem 
echten „Dateneigentum“ erscheint daher 
nicht allzu fernliegend. Andererseits ist 
die Figur des Dateneigentums rechtsdog- 
matisch problematisch, da Eigentum nur 
für körperliche Gegenstände definiert 
ist. Hinzu kommt, dass die Möglichkeit 
eines Eigentums an Daten dazu führen 
könnte, dass finanzstarke Akteure gro- 
ße Datenmengen einfach aufkaufen und 
ausschließlich für ihre eigenen Zwecke 
verwenden. Es erscheint deshalb im Er- 
gebnis überzeugend, dass die EU sich 
nicht für die Möglichkeit eines Datenei- 
gentums entschieden hat. 

Stattdessen hat sie ein neuartiges 
Modell entwickelt, welches zwar ein 
originäres Zugriffs- und Verwendungs- 
recht der Person anerkennt, durch de- 
ren Handeln die Daten entstehen, an- 
dererseits aber Maßnahmen vorsieht, 
um eine Monopolisierung dieser Daten 
zu verhindern. Der Hersteller eines Pro- 
dukts wird verpflichtet, den Benutzern 
des Produkts, also etwa dem Käufer und 
Fahrer eines Fahrzeugs, den Zugang zu 
den darin entstandenen Daten zu eröff- 
nen. Dieser hat sodann die Möglichkeit, 
die Daten selbst zu nutzen, mit anderen 
zu teilen oder Dritten zur Verfügung zu 
stellen. Das kann entgeltlich, aber auch 
unentgeltlich geschehen. Hat der Nut- 
zer kein Interesse an den Daten, so ver- 
bleiben sie beim Dateninhaber (Herstel- 
ler), der jedoch, wenn er sie verwenden 
will, eine vertragliche Vereinbarung, ei- 
nen Datenlizenzvertrag, mit dem Nutzer 
schließen muss.” 


DANA ® Datenschutz Nachrichten 1/2023 


Der neue Data Act möchte also einer- 
seits Anreize zur Datenproduktion set- 
zen, andererseits den Zugang zu Daten 
erleichtern. Für personenbezogene Da- 
ten wirft dies Probleme auf, weil diese 
Daten auch der DSGVO unterfallen. Im- 
merhin wird das Problem von den Ver- 
fassern des Data Act durchaus gesehen. 
InArt. 1 Abs. 3 heißt es: 

„Diese Verordnung berührt nicht die 
Anwendbarkeit der Rechtsvorschriften 
der Union über den Schutz personenbe- 
zogener Daten, insbesondere der Verord- 
nung (EU) 2016/679 und der Richtlinie 
2002/58/EG, sowie die Befugnisse und 
Zuständigkeiten der Aufsichtsbehörden. 
Soweit die in Kapitel II dieser Verordnung 
festgelegten Rechte betroffen sind und es 
sich bei den Nutzern um von der Verarbei- 
tung personenbezogener Daten betrof- 
fene Personen handelt, die den Rechten 
und Pflichten des genannten Kapitels 
unterliegen, ergänzen die Bestimmungen 
dieser Verordnung das Recht auf Daten- 
übertragbarkeit nach Artikel 20 der Ver- 
ordnung (EU) 2016/679”. 

Doch was soll es bedeuten, dass die 
Vorgaben der DSVGO durch den Data 
Act „nicht berührt” werden? Wie ist es 
gemeint, wenn ausgeführt wird, Art. 20 
der DSGVO, der die Übertragung per- 
sonenbezogener Daten regelt, werde 
durch das neue Datengesetz „ergänzt”? 
Um auf unser Pkw-Beispiel zurückzu- 
kommen: Im Wagen werden von ein- 
gebauten Sensoren Daten über die 
Nutzung der Bremsen, die gefahrene 
Strecke, das gefahrene Tempo und den 
Abrieb der Bremsbeläge aufgenommen 
und gespeichert. Das sind genau die 
Informationen, die ein Herstellerun- 
ternehmen benötigt. Die Daten lassen 
sich aber mit hinreichendem Aufwand 
(z.B. über die Fahrgestellnummer bzw. 
Fahrzeugidentifikationsnummer)  ei- 
nem Halter zuordnen, über den dann 
wiederum der Fahrer identifiziert wer- 
den kann. Man kann also mit guten 
Argumenten vertreten, dass es sich um 
personenbezogene, weil jedenfalls mit 
leistbarem Aufwand personenbeziehba- 
re Informationen handelt. 

Was folgt daraus für die Anwendbar- 
keit des Data Act einerseits und der 
DSGVO andererseits? Hier und auch an 
anderen Stellen kommt es offenbar zu 
Regelungskollisionen, die im Data Act 
nicht überzeugend aufgelöst werden. 
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V. Lösungsansätze 


Welche Lösungsansätze bieten sich 
an? Zu denken wäre zuallererst an den 
Grundsatz, dass das ranghöhere Gesetz 
dem rangniedrigeren vorgeht. Im Ver- 
hältnis von DSGVO und Data Act hilft 
dieser Grundsatz aber nicht weiter, da 
auch der Data Act als EU-Verordnung 
erlassen werden soll, so dass es sich um 
gleichrangige Regelungsakte handelt. 

In Frage kommt weiter der alte Grund- 
satz, dass das neuere Gesetz das ältere 
verdrängt (lex posterior derogat legi 
priori). Dies würde bedeuten, dass die 
neuen Regelungen des Data Act und 
der anderen EU-Digitalgesetze damit 
kollidierende Bestimmungen der DSGVO 
verdrängen. Gerade angesichts der Aus- 
deutbarkeit vieler neuer Bestimmungen 
- viele davon befinden sich allerdings 
noch im Entwurfsstadium - und der 
jedenfalls bislang mangelnden wissen- 
schaftlichen Durchdringung des neuen 
EU-Datenwirtschaftsrechts würde dies 
allerdings bedeuten, dass die DSGVO in 
vielfacher und gar nicht näher abgrenz- 
barer Hinsicht durchlöchert und in ihrer 
Gesamtwirkung erheblich beeinträch- 
tigt würde. Es spricht nichts dafür, dass 
der europäische Gesetzgeber Derartiges 
intendiert hätte. 

Unergiebig ist auch eine dritte Mög- 
lichkeit zwischen DSGVO und Data Act 
zu vermitteln, nämlich die Anwendung 
der Regel, dass das speziellere Gesetz 
das allgemeinere verdrängt: lex specia- 
lis derogat legi generali. Beide Rege- 
lungsakte betreffen unterschiedliche 
Materien, sind also jeweils mit Blick auf 
den von ihnen geregelten Fragenkom- 
plex „spezieller“. Es ist deshalb unklar, 
welchem Gesetz nach dieser Kollisions- 
regel der Vorrang gebühren sollte. Ein 
erster Durchgang durch die klassischen 
Regeln für eine Normenkollision führt 
also nicht zu einem befriedigenden Er- 
gebnis. 

Im Data Act heißt es, wie eben zi- 
tiert, die DSGVO werde durch die neue 
Regelung „nicht berührt”. Wörtlich ge- 
nommen ist dies unzutreffend oder zu- 
mindest wenig aussagekräftig. Man wird 
die Klausel aber zumindest als Aufforde- 
rung an die Rechtswissenschaft und die 
Rechtsprechung deuten können, eine 
Harmonisierung zwischen beiden Rege- 
lungswerken herzustellen. 


Teilweise wird gefordert, angelehnt 
an den Data Governance Act, dem Da- 
tenschutz in allen Kollisionsfällen Vor- 
rang einzuräumen. Eine solcher Ansatz 
könnte allerdings dazu führen, dass 
sich das Rechtsregime für den Umgang 
mit personenbezogenen Daten im Kon- 
text des Datenhandels grundlegend 
von dem für den Umgang mit nicht per- 
sonenbezogenen Daten unterscheiden 
würde, was sich bis hin zur Zuständig- 
keit der jeweiligen Aufsichtsbehörden 
auswirken würde. Rein faktisch lassen 
sich entsprechende Datensätze meist 
wohl nicht sauber auseinanderhalten, 
wie das Beispiel mit den Fahrzeugdaten 
zeigt. Ergebnis wäre ein bürokratisches 
Monster, das weder dem Bedürfnisnach 
Datenhandel noch der Notwendigkeit 
des Datenschutzes gerecht würde. 

Hinzu kommt, wie bereits angespro- 
chen, dass die Abgrenzung zwischen 
personenbezogenen und nicht perso- 
nenbezogenen Daten unscharf gewor- 
den ist und durch die rasante technische 
Entwicklung immer unschärfer wird. Der 
potentielle Geltungsbereich der DSGVO 
erweitert sich damit mehr und mehr, 
was den Datenschutz nicht verbessert, 
sondern schwächt, Rechtsunsicherheit 
schafft und so die bereits heute erhebli- 
chen Akzeptanzprobleme verschärft. 

Meines Erachtens führt deshalb kein 
Weg daran vorbei, im Umgang mit un- 
seren Daten einen grundlegenden Neu- 
anfang anzustreben. Angesichts der 
neuen EU-Vorstöße bedarf das Verhält- 
nis von Datenschutz und Datenhandel 
einer reflektierten Neujustierung, die 
bislang noch nicht in ausreichendem 
Maß geleistet wurde.’° Das hohe Tem- 
po, mit dem die EU ihre neuen Digital- 
gesetze vorantreibt, ist deshalb proble- 
matisch. Mir erscheint eine Art Mora- 
torium sinnvoll, um die aufgezeigten 
Spannungen zumindest einmal umfas- 
send zu beschreiben und theoretisch 
zu erfassen. 

Bis dahin sollte der Data Act, ebenso 
wie der Data Governance Act und die 
anderen neuen EU-Digitalgesetze, so- 
fern sie schon in Geltung gelangen, im 
Lichte der DSGVO ausgelegt werden. Wo 
möglich, sollten auch noch Änderun- 
gen im Wortlaut angebracht werden. 
Ausgangspunkt für eine Harmonisie- 
rung von Datenschutz und gemein- 
wohlorientiertem Datengebrauch muss 
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der Blick auf die grundrechtlichen 
Vorgaben des Umgangs mit Daten sein, 
die durch den Data Act nicht verän- 
dert wurden. Sowohl die europäische 
Grundrechte-Charta (Art. 8) als auch 
das deutsche Grundgesetz (Art. 2 Abs. 1 
1.V.m. Art. 1 Abs. 1) schreiben den Da- 
tenschutz als Grundrecht fest. Aber 
auch das Eigentum und die unterneh- 
merische Freiheit, ebenso das Interes- 
se an einem wirksamen Gesundheits- 
schutz, genießen Grundrechtsschutz. 
Dies legt eine Abwägung im Einzelfall 
nahe. Sind erst einmal hinreichend vie- 
le Fälle diskutiert und gelöst worden, 
so wird es möglich, Fallgruppen zu bil- 
den und mittels der Kasuistik rechts- 
staatliche Regeln zu formulieren. 

Nicht ausgeschlossen erscheint auch 
eine Änderung der DSGVO, um unprob- 
lematische und gemeinwohlbezogene 
Formen des Verfügbarmachens von Da- 
ten zu erlauben. Es wird in der Öffent- 
lichkeit nicht immer beachtet, dass 
die DSGVO bereits heute eine Vielzahl 
von gut durchdachten Ausnahmetat- 
beständen enthält, die einen gemein- 
wohlorientierten Umgang mit Daten 
möglich machen. Ein Ansatz könnte 
sein, auf eine Einwilligung oder, in un- 
serem Zusammenhang noch wichtiger, 
mutmaßliche Einwilligung des Betrof- 
fenen abzustellen. Auch die Figur der 
hypothetischen Einwilligung könnte 
mutatis mutandis ins Spiel gebracht 
werden. 

Allerdings gibt es Grenzen. Das Recht 
auf informationelle Selbstbestimmung 
ergibt sich wie ausgeführt aus Art. 1 
Abs. 1in Verbindung mit Art. 2 Abs. 1 
Grundgesetz. Es ist deshalb nahelie- 
gend, einen Kernbereich des Rechts 
auf informationelle Selbstbestimmung 
sogar direkt in der Menschenwürde, 
Art. 1 Abs. 1, zu verorten, was bedeu- 
ten würde, dass dieser Bereich nicht 
gesetzlich einschränkbar ist. Ein sol- 
cher Kernbereich wäre nach umstrit- 
tener, m.E. aber zutreffender Ansicht 
nicht einmal für den Grundrechtsträger 
selbst verfügbar, was bedeutet, dass 
hier Grenzen der Selbstbestimmung 
erreicht sind. Auch ein konsentierter 
Handel mit entsprechenden Daten wäre 
dann ausgeschlossen. Die damit ange- 
deuteten Fragen bedürfen allerdings 
einer eingehenderen Analyse, als sie 
hier geleistet werden kann. 
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VI. Fazit 


Damit komme ich zu meinem Fazit: Der 
Data Act und die anderen EU-Digitalge- 
setze weisen in die richtige Richtung. 
Das hohe Tempo, das der EU-Gesetzgeber 
eingeschlagen hat, führt jedoch dazu, 
dass die Entwürfe nicht immer hinrei- 
chend untereinander und in Bezug auf 
ältere Regelungen abgestimmt sind. Ge- 
rade das Verhältnis des neuen Data Act 
zur DSGVO wirft viele Fragen auf. Bis sie 
gelöst sind, ist von einem Vorrang des 
Datenschutzes auszugehen. Darüber hi- 
naus sollte jedoch über sprachliche Klä- 
rungen und Ergänzungen im Entwurf des 
Data Acts, vielleicht aber auch in der DS- 
GVO nachgedacht werden, um zu helfen, 
die Vision einer gemeinwohlorientierten 
Datenwirtschaft bald Wirklichkeit wer- 
den zu lassen. 


* Bei diesem Text handelt es sich um den 
Vorabdruck eines im Rahmen des 25. 
Wiesbadener Forums für Datenschutz am 
6. Oktober 2022 anlässlich der Jubi- 
läumsfeier zu „50 Jahre Datenschutz 
in Hessen“ gehaltenen Vortrags. Die 
Vortragsfassung wurde beibehalten, aber 
um Anmerkungen ergänzt. Eine ausführ- 
lichere Fassung erscheint in: Roßnagel/ 
Wallmann (Hrsg.), Stärkung der For- 
schung durch Datenschutz, 2023/2024). 
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EHDS - der Europäische Gesundheitsdatenraum 


Das Kürzel EHDS wird Datenschützern 
künftig öfter begegnen. Es steht für 
„European Health Data Space”. Dabei 
handelt es sich nicht um einen „Raum“ 
im analogen Sinn, sondern um nichts 
anderes als eine geplante Verordnung, 
also ein projektiertes Gesetz der Euro- 
päischen Union (EU). Der Entwurf für ei- 
nen EHDS (EHDS-E)! ist Bestandteil der 
2020 vorgestellten europäischen Da- 
tenstrategie, in der bereichsspezifische 
Datenräume vorgeschlagen werden.? 
Neben dem für Gesundheit soll es Daten- 
räume u.a. zu Mobilität, Umwelt, Land- 
wirtschaft und Soziales geben (ErwGr 55 
S. 8, 11, 12).? Mit ihrer Digitalstrategie 
will die EU-Kommission neben inter- 
nen Effekten im globalen Wettbewerb 
einen rechtlichen Rahmen schaffen, 
mit dem Unternehmen in Europas Digi- 
talwirtschaft insbesondere gegenüber 
Anbietern aus den USA und China durch 
rechtsstaatliche und gemeinwohlori- 
entierte Vorgaben Wettbewerbsvorteile 
geschaffen werden.‘ 


Gesetz und informationstechnische 
Plattform 


Der EHDS soll drei Funktionen er- 
füllen: Zum einen soll er einen rechtli- 
chen und strukturellen Rahmen dafür 
geben, dass Betroffene, die im Entwurf 
„natürliche Personen“ genannt wer- 
den’, ihre Gesundheitsdaten verwalten 
können. Außerdem soll der EHDS die 
Plattform für den grenzüberschreiten- 
den Austausch von Gesundheitsdaten 
für medizinische Primärzwecke, also 
insbesondere im Rahmen ärztlicher Be- 
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handlung, regeln. Schließlich soll der 
EHDS die Grundlage für eine Bereitstel- 
lung von Gesundheitsdaten für Sekun- 
därzwecke abgeben, insbesondere zur 
wissenschaftlichen Auswertung für die 
medizinische Forschung, aber auch für 
viele weitere Zwecke von der politischen 
Planung über die medizinische Quali- 
tätssicherung bis hin zu Rückmeldun- 
gen in den Behandlungsbereich, etwa 
im Rahmen personalisierter Therapien. 

Der EHDS soll nicht nur mit aggre- 
gierten und anonymisierten Daten 
gefüllt werden, sondern vor allem mit 
personenbezogenen Gesundheitsda- 
ten, die gemäß Art. 9 Abs. 1 DSGVO als 
besonders sensitiv und schützenswert 
eingestuft werden. Damit kann er sich 
der Aufmerksamkeit der Datenschützer 
gewiss sein. 

Mit dem EHDS sollen die äußerst un- 
terschiedlichen Digitalisierungsniveaus 
des Gesundheitswesens in den Mitglied- 
staaten der EU einander angepasst wer- 
den. Ziel ist es in diesem Bereich euro- 
paweit die Automation voranzutreiben. 
Es soll verhindert werden, dass dieser 
Bereich, der noch weitgehend von EU- 
Playern bespielt wird, von Unternehmen 
aus den USA und China übernommen 
wird. Das ökonomische Potenzial der Ge- 
sundheitsdaten wird hoch eingeschätzt. 
Dieses Potenzial soll gehoben werden, 
indem ein gemeinsamer Binnenmarkt 
geschaffen wird. Dieser setzt vor allem 
gemeinsame Standards und Formate 
voraus, technische Schnittstellen und 
Kommunikationsnetze, und letztlich 
auch ein einheitliches Regelwerk. Der 
EHDS zielt auf sämtliche dieser Ebenen. 


Europäisches Gesundheitsrecht 


Bisher spielte das Thema Gesundheit 
in der EU eine untergeordnete Rolle. Die 
einzige nennenswerte und informatio- 
nellrelevante Regulierung erfolgte 2011 
mit der Patientenrechterichtlinie, mit 
der Patientenrechte in der grenzüber- 
schreitenden Gesundheitsversorgung fi- 
xiert werden.‘ Nach Art. 14 dieser Richt- 
linie wurde die Plattform MyHealth@EU 
etabliert, die bisher aber nur in zehn 
Mitgliedstaaten eingeführt wurde und 
die nur zwei Dienste (elektronische 
Verschreibung und Patientenkurzakte) 
unterstützt. Zudem gibt es EU-Regeln 
zu Medizinprodukten’ und zur In-Vitro- 
Diagnostik.* Der Gesundheitsbereich 
blieb weitgehend eine nationalstaat- 
liche Domäne. Rechtliche Grundlage 
für Unionspolitiken im Gesundheitsbe- 
reich ist Art. 168 des Vertrags über die 
Arbeitsweise der Europäischen Union 
(AEUV), welcher der EU vorrangig eine 
ergänzende und fördernde Funktion zu 
den nationalen Politiken zum Gesund- 
heitsschutz zuweist. Der Gesundheits- 
schutz hat seit 2009 EU-weit in Art. 35 
der europäischen Grundrechte-Charta 
(GRCh) eine normative Grundlage, der 
jedem Menschen ein Recht auf Zugang 
zur Gesundheitsversorgung und auf 
ärztliche Versorgung zuspricht. 

Dass hierfür die nationalen Politiken 
nicht mehr genügen, wurde den Ver- 
antwortlichen in der EU schlagartig mit 
der Corona-Pandemie klar (ErwGr 2, 3). 
Dabei ging es nicht nur um die gemein- 
same Versorgung mit Impfstoff, sondern 
auch um möglichst einheitliche Stan- 
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dards bei der Pandemiebekämpfung, 
etwa durch einheitliche Impfnachweise?, 
und um die möglichst aktuelle und re- 
präsentative Datengewinnung und den 
Datenaustausch, womit eine bessere 
Einschätzung der Pandemie ermöglicht 
würde. Gerade in Deutschland machte 
die Pandemie schmerzlich bewusst, dass 
die digitale Rückständigkeit des Gesund- 
heitsbereichs ein Hemmschuh bei der 
Pandemiebekämpfung war bzw. ist. 


Rechtliche Rahmenbedingungen 


Der Vorschlag des EHDS steht im Zu- 
sammenhang mit zwei weiteren Geset- 
zesprojekten - dem Data-Governance 
Act'° und dem Data Act!!. Der Data 
Governance Act benennt allgemeine 
Bedingungen für die Sekundärnutzung 
von Daten des öffentlichen Sektors und 
dient dem Daten-Altruismus ohne ein 
wirkliches Recht auf Sekundärnutzung 
solcher Daten zu begründen. Der vorge- 
schlagene Data Act soll die Übertragbar- 
keit bestimmter nutzergenerierter Da- 
ten verbessern, was Gesundheitsdaten 
einschließen kann, enthält aber keine 
Vorschriften für alle Gesundheitsdaten. 

Flankierend zum EHDS haben die 
EU-Gesetzgeber die Verordnung (EU) 
2021/522 erlassen, die ein Aktions- 
programm im Bereich der Gesundheit 
(EU4Health-Programm) für den Zeit- 
raum 2021 bis 2027 einrichtet.'? Art. 3 
lit. c dieser Verordnung nennt die För- 
derung des Datenaustauschs als Ziel des 
Aktionsprogramms. Dies wird mit der 
„Stärkung der Verwendung und Wieder- 
verwendung von Gesundheitsdaten für 
die Gesundheitsversorgung sowie für 
Forschung und Innovation, Förderung 
der Einführung digitaler Instrumente 
und Dienste sowie des digitalen Wan- 
dels der Gesundheitssysteme, indem 
beispielsweise die Schaffung eines euro- 
päischen Raums für Gesundheitsdaten 
unterstützt wird”, spezifiziert (Art. 4 
lit. fEU4Health-Program). 

Ihre Gesetzgebungskompetenz für 
den EHDS leitet die EU aus den Art. 16 
(Datenschutz) und Art. 114 (Binnen- 
markt) AEUV ab. Damit versteht sich 
der EHDS als bereichsspezifische Da- 
tenschutzgesetzgebung, mit der die 
DSGVO, die unangetastet bleiben soll 
(ErwGr 4), konkretisiert wird. Hinsicht- 
lich der Regelungsintensität hat sich 
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die EU-Kommission auf eine mittlere 
Option festgelegt (EHDS-E S. 16 £.): Die 
Rechte natürlicher Personen sollen hin- 
sichtlich der digitalen Kontrolle ihrer 
Gesundheitsdaten gestärkt werden. Die 
Sekundärnutzung elektronischer Ge- 
sundheitsdaten soll sich auf nationale 
Stellen für die Primär- und Sekundär- 
nutzung elektronischer Gesundheits- 
daten stützen. Diese sollen - durch 
die EU unterstützt - die Maßnahmen 
auf nationaler Ebene umsetzen. Zwei 
digitale Infrastrukturen sollen den 
grenzüberschreitenden Austausch und 
die Sekundärnutzung elektronischer 
Gesundheitsdaten ermöglichen. Eine 
obligatorische Zertifizierung von Elec- 
tronic-Health-Record(EHR)-Systemen 
und eine freiwillige Kennzeichnung für 
Wellness-Apps ist vorgesehen. Ein sol- 
ches EHR-System, das sich derzeit im 
Aufbau befindet, ist in Deutschland für 
gesetzlich Krankenversicherte in den 
88 341 ff. SGB V geregelt. 

Es ist erklärtermaßen ein Anliegen 
des EHDS das in Art. 8 GRCh gewähr- 
leistete Grundrecht auf Datenschutz 
zu stärken (EHDS-E S. 19). Dabei wird 
umfassend auf die DSGVO Bezug genom- 
men, die in Art. 9 Abs. 1 Gesundheits- 
daten besonders schützt und in Art. 9 
Abs. 2 neben den Mitgliedstaaten auch 
der EU die Befugnis zuspricht zur Präzi- 
sierung der Verarbeitungsbedingungen 
bei der Gesundheitsversorgung (lit. h), 
des öffentlichen Gesundheitswesens 
(lit. i) und von Forschung, Statistik und 
Archivwesen (lit. j). 


Struktur des EHDS 


Der Entwurf des EHDS hat 72 Artikel 
undistin 9 Kapitel gegliedert. Kapitel 
(Art. 1, 2) legt den Gegenstand und den 
Anwendungsbereich fest, definiert Be- 
griffe und erläutert die Verknüpfungen 
mit anderen EU-Instrumenten. 

Kapitel II (Art. 3-13) mit der Über- 
schrift „Primärnutzung” regelt die die 
DSGVO ergänzenden Rechte für die 
Betroffenen und Mechanismen für de- 
ren Wahrnehmung. Angehörige von 
Gesundheitsberufen werden zum Füh- 
ren elektronischer interoperabler Ge- 
sundheitsdaten (EHR) verpflichtet. Die 
Mitgliedstaaten müssen eine digitale 
Gesundheitsbehörde für die Aufsicht 
und eine nationale Kontaktstelle für 


den Datenaustausch einrichten. Der 
grenzüberschreitende Austausch elek- 
tronischer Gesundheitsdaten soll über 
eine gemeinsame Infrastruktur - My- 
Health@EU - abgewickelt werden. 

Kapitel III (Art. 14-32) regelt die 
Selbstzertifizierung der EHR-Systeme 
und legt Anforderungen in Bezug auf 
Interoperabilität und Sicherheit fest. 
Die Pflichten der mit EHR-Systemen 
befassten Wirtschaftsakteure werden 
fixiert. Zudem gibt es Bestimmungen 
über die freiwillige Kennzeichnung von 
Wellness-Apps, die mit den EHR-Syste- 
men interoperabel sind. 

Aus Datenschutzsicht zentral ist Kapi- 
tel IV (Art. 33-58) zur Sekundärnutzung 
elektronischer Gesundheitsdaten, z.B. 
für Forschung, Innovation, Politikgestal- 
tung, Patientensicherheit oder Regulie- 
rungstätigkeiten. Darin werden Datenar- 
ten benannt, die für die Sekundärzwecke 
verwendet werden können, und es wer- 
den unzulässige Zwecke festgelegt (z.B. 
Nutzung von Daten zum Schaden von 
Personen, kommerzielle Werbung, Er- 
höhung der Versicherung, Entwicklung 
gefährlicher Produkte). Die Mitglied- 
staaten richten Stellen für den Datenzu- 
gang zwecks Sekundärnutzung ein. Die 
Rahmenbedingungen des Datenaltruis- 
mus im Gesundheitswesen und die Zu- 
ständigkeiten und Pflichten der Stellen 
für den Zugang zu Gesundheitsdaten und 
der Datennutzer werden festgelegt. 

Kapitel V (Art. 59-63) regelt struk- 
turelle Rahmenbedingungen, u.a. zum 
Austausch von Informationen über di- 
gitale öffentliche Dienste, Finanzierung 
usw. sowie zum internationalen Zugang 
zu nicht personenbezogenen Daten im 
EHDS. Kapitel VI (Art. 64-66) führt einen 
Ausschuss für den europäischen Raum 
für Gesundheitsdaten (European Health 
Data Space Board, EHDS-Ausschuss) ein, 
der die nationalen digitalen Gesund- 
heitsbehörden und die Stellen für den 
Zugang zu Gesundheitsdaten koordi- 
niert. Zudem gibt es Bestimmungen zur 
gemeinsamen Verantwortlichkeit in der 
EU-Infrastruktur. Kapitel VII (Art. 67, 
68) gibt der EU-Kommission weit gehen- 
de Befugnisse zum Erlass von delegierten 
Rechtsakten; Kapitel VIII (Art. 69-71) 
sieht nationale Sanktionen bei Verstö- 
ßen gegen den EHDS und eine Evaluie- 
rung des EHDS vor. Kapitel IX (Art. 72) 
enthält Schlussbestimmungen. 
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Betroffenenrechte und geplante IT- 
Struktur 


In Ergänzung zu Art. 15 DSGVO ver- 
spricht Art. 3 EHDS-E Betroffenen einen 
elektronischen Zugriff auf Primärnut- 
zungsdaten „sofort, kostenlos und in 
einem leichtlesbaren, gängigen und zu- 
gänglichen Format” sowie ein Recht auf 
eine „elektronische Kopie”. Diese Rech- 
te können durch nationale Regelung 
aus Gründen der Patientensicherheit 
und aus ethischen Gründen beschränkt 
werden, so wie dies z.B. in & 630g 
Abs. 1 BGB („therapeutische Gründe“) 
schon gilt. Der Zugriff auf die Daten 
im Rahmen der Primärnutzung, also 
zwecks Behandlung im weitesten Sin- 
ne (Art. 2 Abs. 2 lit. d), kann durch die 
Betroffenen Gesundheitsberufen ganz 
oderteilweise beschränkt werden (Art. 3 
Abs. 9). 

Die Mitgliedstaaten werden verpflich- 
tet, digitale Zugangsdienste einzurich- 
ten, mit denen die Betroffenen auf die 
eigenen Gesundheitsdaten und die elek- 
tronische Patientenakte zugreifen kön- 
nen, einschließlich der Möglichkeiten 
zur eigenen Dateneingabe, zur Wahr- 
nehmung der allgemeinen Betroffenen- 
rechte sowie zur Freischaltung für an- 
dere Gesundheitsdienstleister (Art. 4). 
Patientenkurzakten, elektronische Ver- 
schreibungen, elektronische Abgaben, 
medizinische Bilder und Bildbefunde 
und Entlassungsberichte sollen vorran- 
gig digital bereitgestellt werden (Art. 5 
Abs. 1, Anhang). Diese Datenkategori- 
en müssen gemäß nationaler Regelun- 
gen von den Gesundheitsberufen in der 
EHR (Electronic Health Record - elekt- 
ronischen Patientenakte) angeliefert 
werden (Art. 7). Die Authentifizierung 
aller Beteiligten wird über ein digitales 
Identifizierungsmanagement (Art. 9) 
sichergestellt. Betroffene können sich, 
wenn ihre Rechte eingeschränkt schei- 
nen, bei der digitalen Gesundheitsbe- 
hörde beschweren, die mit der zustän- 
digen Datenschutzbehörde zusammen- 
arbeitet (Art. 11). 

Als grenzüberschreitende Infrastruk- 
tur wird von der EU die zentrale Platt- 
form „MyHealth@EU” eingerichtet, die 
über eine nationale Kontaktstelle in 
jedem Mitgliedstaat erreichbar gemacht 
wird, welche wiederum elektronisch 
mit den nationalen Gesundheitsdienst- 
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leistern verknüpft wird (Art. 12). Über 
MyHealth@EU können auch weitere 
Gesundheitsdienste, z.B. der Teleme- 
dizin verknüpft werden (Art. 13). In 
die dezentral geführten EHR-Systeme 
können in strukturierter Weise auch 
Daten von Medizinprodukten, also u.a. 
die Digitalen Gesundheitsanwendungen 
(DiGa, vgl. 8 33c SGB V) sowie Wellness- 
Anwendungen eingebunden werden 
(Art. 14-31). 


Datenbereitstellung zur Sekundär- 
nutzung 


Art. 33 sieht vor, dass Dateninhaber 
für Sekundärnutzungen viele verschie- 
dene Kategorien von Gesundheitsdaten 
über die Zugangsstelle (Art. 41 Abs. 1) 
zur Verfügung stellen müssen. Die Ver- 
pflichtung zur Bereitstellung und Über- 
mittlung dieser Daten ist einerechtliche 
Pflicht i.S.v. Art. 6 Abs. 1 lit. c DSGVO 
(ErwGr 37 S. 4). Der Begriff „Dateninha- 
ber”, der private wie öffentliche Stellen 
einschließt (ErwGr 40 S. 1), ist dem Da- 
tenschutzrecht bisher unbekannt. Dies 
sind gemäß Art. 2 Abs. 2 lit. y Einrich- 
tungen im Gesundheitsbereich im wei- 
ten Sinne, die „durch Kontrolle eines 
technischen Produkts und der damit 
zusammenhängenden Dienste dazu be- 
fähigt sind bestimmte Daten zur Verfü- 
gung zu stellen”. Weshalb hier nicht auf 
die etablierte Figur des „Verantwortli- 
chen” zurückgegriffen wurde, ist nicht 
eindeutig ersichtlich; unklar ist, ob 
damit auch Auftragsverarbeiter (Art. 4 
Nr. 8, 28DSGVO) einbezogen werden sol- 
len;'* die Definition bezieht auch Stellen 
mit ein, deren Gesundheitsdaten nicht 
personenbezogen sind. Nicht verpflich- 
tet werden Kleinstunternehmen. 

Die von der Pflicht erfassten Daten- 
kategorien sind denkbar weit: elektro- 
nische Patientenakten, gesundheits- 
relevante (soziale, umweltbedingte, 
verhaltensbezogene) Faktoren, gene- 
tische und proteomische Daten, Ver- 
waltungsdaten, Daten aus digitalen 
Anwendungen von Medizin- bis zu 
Wellness-Produkten, Daten aus Regis- 
tern, Biobanken und sonstigen Daten- 
banken, aus klinischen Prüfungen, aus 
der Forschung sowie daraus generierte 
oder veränderte Daten (Art. 3 Abs. 1). 
Man kann den Eindruck haben, dass alle 
Daten, die auch im entferntesten einen 


Gesundheitsbezug haben, von der Be- 
reitstellungspflicht erfasst sein sollen. 

Zugang zu diesen Daten wird ge- 
währt, wenn einer der folgenden 
Zwecke verfolgt wird: Tätigkeiten im 
Bereich der öffentlichen Gesundheit 
und im öffentlichen Interesse, Statis- 
tik, Bildungs- und Lehrtätigkeit, For- 
schung, Entwicklung und Innovation 
von Produkten und Diensten, Training 
und Bewertung von Algorithmen und 
personalisierte Gesundheitsversorgung 
(Art. 34 Abs. 1, ErwGr 41). Mit die- 
sen Zwecken sollen die in den Art. 9 
Abs. 2 lit. h, iu. j DSGVO definierten 
Ausnahmen vom Verarbeitungsverbot 
sensitiver Daten abgedeckt werden 
(ErwGr 37 S.5). Offensichtlich wegen der 
Breite der möglichen Zwecke wird auch 
ein Ausschlusskatalog aufgeführt: Das 
Treffen von für Menschen schädlichen 
Entscheidungen, Werbung, Marketing, 
Entwicklung von Drogen und ähnlichen 
Produkten und die Weitergabe an nicht 
autorisierte Stellen soll im Rahmen der 
Sekundärnutzung nicht erlaubt sein 
(Art. 35). 

Als Rechtsgrundlage der Datennut- 
zenden kommt gemäß den Entwurfsver- 
fassern sowohl ein öffentliches Interes- 
sei.S.v. Art.6 Abs. 11lit. eDSGVO in Be- 
tracht, was eine Konkretisierung durch 
weitere Rechtsvorschriften voraussetzt 
(ErwGr 37 S. 9), als auch ein überwie- 
gendes berechtigtes Interesse i.S.v. 
Art.6Abs. 1lit. fDSGVO. In diesen Fällen 
soll der EHDS selbst als Rechtsgrundlage 
genügen. Die einzuhaltenden Garantien 
müssten, so die Kommission, über die 
Datengenehmigung „in den Bedingun- 
gen für den Datenzugang festgelegt 
werden” (ErwGr 37 S. 10, 11). 


Zugangsstellen 


Der Datenzugang erfolgt über eine 
oder mehrere weisungsfreie „Zugangs- 
stellen“, die von den Mitgliedstaaten 
eingerichtet werden. Sie erfüllen eine 
Funktion des öffentlichen Interesses 
1.S.v. Art. 6 Abs. 1 lit. e DSGVO (ErwGr 
37 S. 6). Sie müssen personell, tech- 
nisch und finanziell adäquat ausge- 
stattet sein und sollen mit „Vertretern 
von Patienten, Dateninhabern und Da- 
tennutzern” zusammenarbeiten, wobei 
Interessenkonflikte zu vermeiden sind 
(Art. 36). Die nach nationalem Recht 
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zu benennenden Zugangsstellen kön- 
nen sich nach Organisation und Größe 
unterscheiden, sollen aber „dieselben 
Funktionen, Zuständigkeiten und Fä- 
higkeiten” haben (ErwGr 42 S. 6). 

Die Zugangsstellen entscheiden über 
die Anträge auf Datenzugang und stel- 
len eine umfassende Infrastruktur zur 
Entgegennahme, Aufbereitung und Be- 
reitstellung der Gesundheitsdaten für 
Sekundärzwecke bereit (Art. 37, ErwGr 
43). Ihnen kommen allgemeine Infor- 
mationspflichten gegenüber der Öffent- 
lichkeit zu (Art. 38); sie veröffentlichen 
zudem jährliche spezifische Berichte 
über die konkreten Zugangsaktivitäten 
(Art. 39). 

Damit die Zugangsstellen die Daten- 
vermittlung durchführen können haben 
die Dateninhaber ihre Datenbestände 
präzise zu beschreiben. Wird ein Antrag 
von der Zugangsstelle positiv beschie- 
den, müssen die Daten von den Daten- 
inhabern innerhalb von zwei Monaten 
zur Verfügung gestellt werden. Die Zu- 
gangsgewährung ist grds. gebühren- 
pflichtig, wobei sowohl die Aufwände 
der Zugangsstelle als auch des Daten- 
halters ersetzt werden können (Art. 42). 
Verstöße gegen den EHDS durch den Da- 
tennutzer wie durch den Dateninhaber 
können von der Zugangsstelle gemäß 
nationalem Recht sanktioniert werden 
(Art. 43, 69, ErwGr 48). Handelt es sich 
um nicht-personenbezogene Daten, so 
wird der Zugang „mithilfe vertrauens- 
würdiger offener Datenbanken” ermög- 
licht (Art. 41). 


Datenzugangsgenehmigung 


Aus Datenschutzsicht relevant sind 
die Regeln zur Datenzugangsgenehmi- 
gung. Nach nationalem Recht kann zu- 
sätzlich eine Ethikprüfung vorgesehen 
sein (ErwGr 46 S. 2, 50 S. 5). Die Daten 
dürfen nur für den genehmigten Zweck 
genutzt werden und vom Umfang nicht 
über das hierfür Erforderliche hinaus- 
gehen, wenn nicht schon anonymisierte 
Daten hierfür genügen (Art. 44). Das Ge- 
bot der Datenminimierung (Art. 5 Abs. 1 
lit. cDSGVO) wird also bestätigt. Eskann 
demnach gerechtfertigt sein, pseudony- 
me oder gar identifizierende Daten he- 
rauszuverlangen und zu erhalten. Eine 
entsprechende Regelung (ohne Her- 
ausgabe von identifizierenden Daten) 
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ist derzeit in Deutschland durch 8 303e 
SGB V für die Zugangsmöglichkeit zu 
Daten im Forschungsdatenzentrum des 
Bundesinstituts für Arzneimittel und 
Medizinprodukte (BfArM) vorgesehen. 
Dieses Forschungsdatenzentrum wurde 
durch das Digitale-Versorgung-Gesetz 
(DVG) von 2019 eingerichtet." 

Antragsberechtigt ist jede natürli- 
che oder juristische Person. Der Antrag 
muss detaillierte Angaben enthalten 
zur beabsichtigten Verwendung und 
Nutzungsdauer, zu den benötigten Da- 
ten, zu Vorkehrungen zur Sicherung 
der technisch und organisatorisch ge- 
währleisteten Vertraulichkeit sowie der 
Betroffenenrechte (Art. 45 Abs. 2). Eine 
Datenbereitstellung kann auch europa- 
weit beantragt werden, die dann über 
eine grenzüberschreitende Infrastruk- 
tur (HealthData@EU) erfolgt (Art. 45 
Abs. 3, 52). 

Die Zugangsstelle prüft den Antrag 
undgenehmigt diesen, evtl. partielloder 
unter Bedingungen, bzw. lehnt diesen 
ab. Im Fall der Genehmigung werden die 
Daten beim Dateninhaber von der Zu- 
gangsstelle angefordert, beschafft und 
dem Datennutzer bereitgestellt. Werden 
für eine Anfrage nur Daten eines Da- 
teninhabers angefordert, so ist ein ver- 
einfachtes Verfahren möglich (Art. 49, 
ErwGr 53). Um den Dateninhabern ei- 
nen Anreiz zu schaffen ihre Daten zur 
Verfügung zu stellen, sollen die Daten- 
nutzenden, nach „Anreicherung“ der im 
Rahmen der Datennutzung erlangten 
neuen Daten, diese dem ursprünglichen 
Dateninhaber zur Verfügung stellen, 
„um die Verbesserung der ursprüngli- 
chen Datenbank und die anschließende 
Nutzung der angereicherten Datensätze 
zu unterstützen” (ErwGr 39 S. 4). 


Datenbereitstellung und -nutzung 


Der Datenzugang wird über eine von 
der Zugangsstelle geschaffene „siche- 
re Verarbeitungsumgebung”“ gewährt 
(Art. 50, ErwGr 54). Datennutzer und 
Zugangsstelle gelten im Sinne des Da- 
tenschutzrechts als „gemeinsam Verant- 
wortliche“ (Art. 51). Die Datennutzung 
ist pro Genehmigung für maximal 5 Jah- 
re möglich. Ergeben sich aus der Daten- 
nutzung „klinisch signifikante Befun- 
de“, so müssen diese der Zugangsstelle 
mitgeteilt werden (Art. 46 Abs. 12). 


Nach Abschluss der Datennutzung muss 
der Datennutzer einen Bericht über die 
Nutzung und die dabei erlangten Ergeb- 
nisse abliefern, diein den Jahresbericht 
und in die Webseitenveröffentlichung 
der Zugangsstelle einfließen (Art. 46 
Abs. 11). Über eine „Datenanfrage“ 
kann jeder und jede bei der Zugangs- 
stelle eine Beschreibung des erwarteten 
Resultats einfordern (Art. 47). 

Für grenzüberschreitende Register 
gibt es eine Sonderregelung (Art. 53). 
Bei grenzüberschreitenden Projekten 
bleibt es bei den nationalen Zuständig- 
keiten bzgl. des Datenzugangs, wobei 
aber eine Genehmigung von anderen 
Zugangsstellen anerkannt werden kann 
(Art. 54, ErwGr 57). Möglich ist auch 
eine - vorrangig anonyme - Übertra- 
gung in Drittländer, sogar unter engen 
Voraussetzungen, wenn „das Risiko ei- 
ner Rekonstruktion der Identität” der 
Betroffenen besteht (Art. 61-64). Die 
Zugangsstellen geben Informationen 
über die verfügbaren, evtl. qualitätsge- 
sicherten (Art. 56) Datensätze, damit 
die potenziellen Datennutzer deren Nut- 
zen einschätzen können (Art. 53). 


Organisatorisches 


Auf nationaler Ebene ist eine digitale 
Gesundheitsbehörde einzurichten, die 
für die Durchsetzung des EHDS zustän- 
dig ist (Art. 10). Diese nationalen Ge- 
sundheitsbehörden arbeiten zusammen 
und haben auch mit anderen tangier- 
ten Aufsichtsbehörden zu kooperieren. 
Dies gilt auch für die unabhängigen 
Datenschutzbehörden, denen die Ge- 
sundheitsbehörden Beschwerden, die 
den Datenschutz betreffen, mitteilen 
(Art. 10 Abs. 2lit.n, 11 Abs. 1)."° 

Es wird auf EU-Ebene ein von der 
EU-Kommission geleiteter EHDS-Aus- 
schuss eingerichtet, der eine Koordi- 
nierungsfunktion erfüllen soll. Dort 
sitzen „hochrangige Vertreter der di- 
gitalen Gesundheitsbehörden und der 
Zugangsstellen”. Dieser Ausschuss soll 
mit den Marktüberwachungsbehörden, 
dem Europäischen Datenschutzaus- 
schuss (EDSA) sowie dem Europäischen 
Datenschutzbeauftragten (EDPS) sowie 
mit „Interessenträgern“ kooperieren 
(Art. 64, 65, ErwGr 65). 

Von der Kommission eingerichtet wer- 
den zudem zwei „Gruppen der gemein- 
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sam Verantwortlichen für Infrastruktu- 
ren“, die für die Entwicklung und den 
Betrieb der grenzüberschreitenden In- 
frastrukturen und die Interoperabilität 
verantwortlich zeichnen (Art. 66). 

Der EHDS-Vorschlag der EU-Kommis- 
sion überträgt diesem europäischen Ex- 
ekutivgremium eine große Machtfülle 
durch die Befugnis delegierte Rechts- 
akte zu praktisch allen wesentlichen 
Fragen zu erlassen. Dem Europäischen 
Parlament (EP) und dem Europäischen 
Rat wird hinsichtlich der Rechtsakte ein 
Vetorecht zugestanden (Art. 67). Es ist 
auch die Kommission, die nach 5 bzw. 
nach 7 Jahren eine Evaluation des EHDS 
vornimmt (Art. 70). 


Grundsätzliche Erwägungen 


Der Ansatz, bei der Verarbeitung von 
Gesundheitsdaten eine Vereinheitli- 
chung in Europa anzustreben, ist zu be- 
grüßen. Die EU ist nicht nur ein Binnen- 
markt mit Freizügigkeit, sondern auch 
eine Wertegemeinschaft und ein Gebiet 
gemeinsamer Lebensbedingungen, die 
es gemeinsam zu gestalten gilt. 

Die Wertegemeinschaft findet ihre 
Ausgestaltung in der europäischen 
Grundrechte-Charta, in der individuelle 
und kollektive Grundprinzipien unserer 
Gesellschaftsordnung festgehalten sind. 
Hierzu gehören u.a. mit einem Gesund- 
heitsbezug die Würdegarantie (Art. 1 
GRCh), das Recht auf Unversehrtheit 
(Art. 3 GRCh), die Achtung des Privat- 
und Familienlebens (Art. 7 GRCh), der 
Datenschutz (Art. 8 GRCh), die Freiheit 
der Wissenschaft (Art. 13 GRCh), die 
Berufsfreiheit und die Unternehmens- 
freiheit (Art. 16, 17) und der Schutz vor 
Diskriminierung (Art. 21 GRCh). Beson- 
dere Kollektive bedürfen eines spezifi- 
schen Schutzes, so Kinder (Art. 24, 32 
S. 3 GRCh), ältere Menschen (Art. 25 
GRCh) und Menschen mit Behinderung 
(Art. 26). Dem Gesundheitsschutz wird 
eine wichtige Bedeutung beigemessen 
(Art. 35 GRCh) - auch milieubezogen 
in Bezug auf die Arbeit (Art. 31 Abs. 1 
GRCh), die Umwelt (Art. 37 GRCh) sowie 
für den Bereich des Konsums (Verbrau- 
cherschutz, Art. 38 GRCh). 

Innerhalb der EU bestehen - wegen 
unterschiedlicher Traditionen aber 
auch wegen des bisher geltenden Pri- 
mats nationaler Regulierung - äußerst 
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unterschiedliche Gesundheitssysteme. 
Diese Unterschiede in der Gesundheits- 
versorgung bei Regulierung, Organisati- 
on, Finanzierung und technischer und 
personeller Ausstattung erschweren 
den Austausch und die Koordination 
und Kooperation. Es ist nachvollziehbar 
und gut begründet, wenn die EU dies 
ändern will. Das Argument der Subsidi- 
arität von EU-Zuständigkeiten (Art. 5 
EUV) greift daher nicht zur Verhinde- 
rung der vorgesehenen verstärkten Har- 
monisierung und Kooperation (ErwGr 
67). Dies gilt seit den Erfahrungen mit 
der Corona-Pandemie. Hierbei zeigte 
sich, dass Gesundheitsrisiken an Staats- 
grenzen keinen Halt machen und ein 
EU-weites gemeinsames Vorgehen oft 
unabdingbar ist. 

Für dieses gemeinsame Vorgehen ist 
ein koordinierter und gemeinsamer 
Umgang mit Gesundheitsdaten in vie- 
len Fallgestaltungen zwingend. Es ist 
insofern nicht zu beanstanden, dass die 
EU ihre Zuständigkeit für Datenschutz 
und für den Binnenmarkt (Art. 16, 114 
AEUV) nutzt, um eine Spezifizierung 
der DSGVO hinsichtlich Gesundheitsda- 
ten vorzunehmen, auch wenn dabei die 
Ziele des (gemeinsamen) Gesundheits- 
schutzes im Vordergrund stehen. Da- 
tenschutz und grenzüberschreitender 
freier Datenfluss sind zentrale Aspekte 
für diesen Gesundheitsschutz. 


Paradigmenwechsel 


Der EHDS bricht mit einem uralten 
Grundsatz bei der Verarbeitung mit 
Gesundheitsdaten, wonach das Pa- 
tientengeheimnis bzw. die ärztliche 
Schweigepflicht, also die Wahrung der 
Vertraulichkeit im Verhältnis zwischen 
Hilfsbedürftigen und Helfenden, obers- 
te Priorität hat. Diese Priorität, von der 
noch heute das deutsche Gesundheits- 
datenrecht geprägt ist, wird aber nicht 
erstmals durch den EHDS in Frage ge- 
stellt. So spricht die DSGVO hinsichtlich 
der Verarbeitung sensitiver Daten - und 
damit von Gesundheitsdaten - den Zwe- 
cken der Forschung, der Statistik und 
des Archivwesens einen gleichen Rang 
zu (Art. 5 Abs. 1 lit. b DSGVO).’ Der 
EHDS geht einen Schritt weiter, indem 
er sich nicht allein auf diese Zwecke be- 
schränkt, sondern den kollektiven Ge- 
sundheitsschutz generell als gleichran- 


gig neben dem individuellen Gesund- 
heitsschutz anerkennt. Dabei bleibt er 
dem in der DSGVO vorgegebenen Anlie- 
gen treu praktische Konkordanz bzw. 
eine Zieloptimierung zu erreichen, was 
durch spezifische „Bedingungen und 
Garantien” erfolgen soll. 

Der EHDS setzt die Idee der Sozial- 
pflichtigkeit von Gesundheitsdaten 
um. Diese Pflichtigkeit setzt ein vor- 
rangiges öffentliches Interesse voraus. 
Auch insofern steht der EHDS in der 
Tradition der DSGVO.'* Während aber 
bisher die Sozialpflichtigkeit der Ge- 
sundheitsdaten lediglich ein Aspekt für 
den Umgang im Einzelfall war, wird mit 
dem EHDS ein struktureller Rechtsrah- 
men für praktisch alle Gesundheitsda- 
ten geschaffen. Der damit verbundene 
Paradigmenwechsel ist noch nicht in 
der öffentlichen Wahrnehmung und im 
gesellschaftlichen Bewusstsein ange- 
kommen. Er wird auch nicht als solcher 
klar benannt und diskutiert. Es gibt 
aber genügend Hinweise dafür, dass 
dieser Wechsel angesichts der Entwick- 
lungen von Technik, Gesellschaft und 
Gesundheitswesen geboten ist. So plä- 
dierte die Datenethikkommission für 
harmonisierte abwägende Regelungen 
zur Forschungsnutzung von Gesund- 
heitsdaten.'?” Der Sachverständigenrat 
der Bundesregierung zur Begutachtung 
der Entwicklung im Gesundheitswesen 
schlug 2021 ein bereichsspezifisches 
Gesundheitsdatennutzungsgesetz vor.?" 
Und tatsächlich findet sich im Koaliti- 
onsvertrag der rot-grün-gelben Bundes- 
regierung von 2021 die Ankündigung 
ein Forschungsdatengesetz zu erlassen, 
eine nationale Forschungsdateninfra- 
struktur und einen Europäischen For- 
schungsdatenraum voranzutreiben und 
ein Gesundheitsdatennutzungsgesetz 
auf den Weg zu bringen.?" 


Datenschutz contra Sozialpflichtig- 
keit 


Es war und ist bisher offen, wie die 
Vorgaben der Grundrechtecharta zum 
Datenschutz und zur Forschungsfrei- 
heit sowie zu weiteren Grundrechten 
requlativ zusammengebracht werden 
können. So ist es nicht verwunderlich, 
dass Datenschützer umgehend ihren 
Widerstand gegen den EHDS erklärt ha- 
ben. In einer Stellungnahme der Initia- 
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tive „Patientenrechte und Datenschutz” 
wird der EHDS als „Ermächtigungsge- 
setz” bezeichnet. Zum Schutz des Arzt- 
Patientenverhältnisses bedürfe es bei 
der Weitergabe von Daten an Dritte der 
„Zustimmung der Betroffenen in jedem 
Einzelfall“. Der EHDS dürfe nicht zum 
Einfallstor für den Datenhandel mit 
Patientenakten werden. Zudem seien 
die technischen Schutzregeln unzu- 
reichend. Selbst eine Auslagerung der 
Verarbeitung an US-Cloud-Anbieter sei 
beim EHDS-E nicht ausgeschlossen. 
Schließlich wird geltend gemacht, dass 
die EU keine Regelungsbefugnis habe, 
da „die Verwaltung des Gesundheits- 
wesens und der medizinischen Versor- 
gung” im alleinigen Zuständigkeitsbe- 
reich der Mitgliedstaaten liege.” 

Diese ernst zu nehmenden Bedenken 
legen ihre Finger in offene Wunden. 
Sie können und dürfen aber nicht die 
letzten Antworten des Datenschutzes 
zum EHDS sein. Sie sind auch nicht 
geeignet den Datenschutz im Gesund- 
heitswesen mittelfristig zu sichern, da 
sie die Möglichkeiten und Notwendig- 
keiten von Sekundärnutzungen der 
Gesundheitsdaten ignorieren. Es sollte 
unstreitig sein, dass es einen Ausgleich 
zwischen Datenschutz und öffentlichen 
Interessen an der Auswertung von Ge- 
sundheitsdaten geben muss und dass 
insofern bei der Sekundärnutzung den 
individuellen Datenschutzrechten der 
Betroffenen nicht generell der Vorrang 
eingeräumt werden kann. 

Hinsichtlich der Kompetenzzuwei- 
sung an die EU erscheint der Rückgriff 
auf die Zuständigkeit für Datenschutz 
und Binnenmarkt ausreichend (Art. 16, 
114 AEUV). Eine Verletzung des Subsidi- 
aritätsgrundsatzes kann angesichts der 
dringenden Notwendigkeit der informa- 
tionellen Kooperation im Gesundheits- 
bereich nicht festgestellt werden. Des- 
sen ungeachtet erscheint die bisherige 
Regelung des Art. 168 AEUV angesichts 
der bei der Corona-Pandemie gemach- 
ten Erfahrungen nicht mehr zeitgemäß 
und deshalb entwicklungsbedürftig. 

Der EHDS knüpft mit seinen Mecha- 
nismen an die Entwürfe für einen Data 
Act und einen Data Governance Act an, 
die ein allgemeines Datenregime vorse- 
hen; er unterscheidet sich strukturell 
hiervon nur in Einzelaspekten. Dabei 
gerätaus demBlick, dass es sich bei den 
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im EHDS verarbeiteten Daten um sensi- 
tive Daten i.S.v. Art. 9 DSGVO handelt, 
ja regelmäßig um besonders schützens- 
werte sensitive Daten. Psychiatrische 
oder genetische Daten?” haben einen 
starken Würdebezug; ihre Aussagekraft 
berührt den Kernbereich privater Le- 
bensgestaltung. Gesundheitsdaten wer- 
den von den Betroffenen oft als existen- 
ziell wahrgenommen und sie sind dies 
in sehr vielen Fällen. Das Regelwerk des 
EHDS-E nimmt insofern nicht die zwin- 
gend nötigen normativen Differenzie- 
rungen vor. 


Abwägungsdefizite 


Hinsichtlich der Betroffenenrechte 
bei der Sekundärnutzung ist der EHDS 
restriktiv und in vieler Hinsicht unklar. 
Gemäß Art. 38 Abs. 1 u. 2 erfolgt eine 
allgemeine Information über die Tätig- 
keit der Zugangsstellen. Hierdurch sol- 
len sie von der Unterrichtungspflicht 
nach Art. 14 DSGVO befreit sein. Diese 
Ausnahme folgt dem in der DSGVO ange- 
legten Prinzip, dass die individuelle Be- 
nachrichtigung durch eine gesetzliche 
Regelung ersetzt werden kann (Art. 14 
Abs. 5 lit. c DSGVO).”* 

Zu den weiteren datenschutzrechtli- 
chen Betroffenenrechten schweigt sich 
der EHDS-E aus. Damit folgt der EHDS-E 
dem Regelungskonzept des deutschen 
Forschungsdatenzentrums.?° Ange- 
sichts des Umstands, dass zu Art. 14 DS- 
GVO eine Ausnahmeregelung besteht, 
nicht aber zu den anderen Betroffenen- 
rechten in der DSGVO, sollte man davon 
ausgehen, dass diese Rechte auch bzgl. 
der Sekundärdatennutzung gelten sol- 
len. Evident ist dies jedoch nicht, zumal 
die Betroffenendaten hier regelmäßig 
pseudonymisiert sein werden und dann 
die Umsetzung der Betroffenenrechte 
erschwert oder gar ausgeschlossen sein 
können (vgl. Art. 11 DSGVO). Der Aus- 
schluss des Widerspruchsrechts gemäß 
Art. 21 Abs. 1 DSGVO bzgl. der Erfüllung 
einer rechtlichen Pflicht (Art. 6 Abs. 1 
lit. c DSGVO)?® bezieht sich allenfalls auf 
die Bereitstellungspflicht gegenüber 
den Zugangsstellen, erfasst aber nicht 
deren Weitergabe an die Datenemp- 
fänger, die auf Art. 6 Abs. 1lit. e oder 
lit. £DSGVO basiert. Hier bedarf es nicht 
nur der Klarstellung, sondern darüber 
hinausgehend auch spezifischer Me- 


chanismen, mit denen insbesondere das 
Auskunfts- und das Widerspruchsrecht?’ 
durch eine organisierte Rückführung 
des Pseudonyms zu Identitätsdaten bei 
pseudonymer Verarbeitung gewährleis- 
tet werden kann. 

Nicht akzeptabel ist der Ansatz des 
EHDS-E für die Sekundärnutzung als 
Rechtsgrundlage Art. 6 Abs. 1 lit. fDS- 
GVO, also die Geltendmachung eines 
berechtigten Interesses, zuzulassen. 
Dies gilt für jedes private berechtigte 
Interesse, auch wenn dies nicht durch 
ein öffentliches Interesse unterstützt 
wird.?® Selbst wenn die Anwendung 
dieser Regelung materiell durch Art. 9 
Abs. 2 lit. h,iu. j DSGVO eingeschränkt 
interpretiert wird, kann dies nicht dem 
Grundrechtsschutz und auch nicht den 
Anforderungen der DSGVO genügen. Die 
DSGVO fordert spezifizierte Garantien 
und Maßnahmen, die im EHDS-E, ent- 
gegen eigenen Beteuerungen (so z.B. 
S. 19), nicht hinreichend vorgesehen 
sind.?” Auch insofern verblüfft und er- 
schreckt das aktuelle Konzept des EHDS 
hinsichtlich seiner Ähnlichkeit mit den 
offensichtlich verfassungswidrigen Re- 
gelungen zum deutschen Forschungs- 
datenzentrum.°° 


Ungenügende Bestimmtheit 


Eine verfassungsrechtlich relevante 
Ähnlichkeit zwischen der Datentranspa- 
renz gemäß 88 303a ff. SGB V und dem 
EHDS-E besteht auch hinsichtlich der 
Zwecke. In der öffentlichen Darstellung 
wird zur Rechtfertigung des EHDS regel- 
mäßig auf dessen Notwendigkeit für die 
medizinische Forschung und den damit 
möglichen Fortschritt im Gesundheits- 
bereich hingewiesen. Der EHDS verfolgt 
bzgl. der Sekundärnutzung aber ein 
viel breiteres Zweckspektrum. So sieht 
Art.34 Abs. 1 vor, dass die Daten genutzt 
werden können zur Unterstützung jegli- 
cher Art von Stellen „im Gesundheits- 
und Pflegesektor bei der Wahrnehmung 
ihrer in ihren Mandaten festgelegten 
Aufgaben” (lit. b), für „Bildungs- und 
Lehrtätigkeiten im Gesundheits- und 
Pflegesektor” (lit. d), für jegliche „Ent- 
wicklungs- und Innovationstätigkeiten 
für Produkte und Dienste” im Gesund- 
heitsbereich (lit. f) oder zu „Training, 
Erprobung und Bewertung von Algo- 
rithmen” mit Medizinbezug (lit.g). Die 
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Regelung verzichtet gar auf Einschrän- 
kungen hinsichtlich einer, evtl. gestei- 
gerten, Erforderlichkeit und begnügt 
sich „Relevanz“ zu verlangen (Art. 44 
Abs. 1). Um verhältnismäßig zu sein 
müssen die Verwendungszwecke redu- 
ziert werden auf solche, mit denen pro- 
spektiv ein erheblicher Gewinn für die 
öffentliche Gesundheit einhergeht.?! 
Dies schließt einen individuellen Ge- 
sundheitsgewinn nicht aus, da das Wohl 
eines Einzelnen auch im öffentlichen 
Interesse liegt. 

Angesichts der Offenheit und Breite 
der zugelassenen Zwecke kommt es für 
die Bereitstellung in jedem Fall auf eine 
Abwägung an, für die im EHDS-E nur 
wenige Anhaltspunkte bereitgestellt 
werden. Selbst wenn man die in Art. 9 
Abs. 2lit.h, iundj DSGVO aufgeführten 
Zwecke mitliest, was sich nicht direkt 
aufdrängt, bleibt man hinsichtlich der 
Abwägung bei der Genehmigung der Zu- 
gangsberechtigung im Ungewissen. We- 
nig hilfreich ist dabei, dass viele Zwecke 
keinen oder zumindest nur einen sehr 
indirekten Grundrechtsbezug haben. 


Wo bleibt die Forschungsprivilegie- 
rung? 


Dies gilt nicht für die medizinische 
Forschung (Art. 34 Abs. 1 lit. e), die 
in Art. 13 5. 1 GRCh garantiert ist. Dies 
gilt auch nicht hinsichtlich der „Be- 
reitstellung einer personalisierten Ge- 
sundheitsversorgung” für eine konkrete 
natürliche Person (lit. h), wo der indi- 
viduelle Gesundheitsschutz im Spiel ist 
(Art. 3 GRCh). Trotz der verfassungs- 
rechtlich äußerst unterschiedlich zu be- 
wertenden Zwecke werden sie im EHDS 
materiell- wie prozessrechtlich völlig 
gleichbehandelt. Damit wird gegen den 
Grundsatz verstoßen, dass wesentlich 
Unterschiedliches auch unterschiedlich 
zu behandeln ist. 

Die Einheitsregelung zum Datenzu- 
gang findet auch in der DSGVO keine 
Grundlage. Die DSGVO privilegiert aus- 
schließlich Statistik, Forschung und 
Archivwesen in Bezug auf die Zweckän- 
derung (Art. 5 Abs. 1 lit. b DSGVO) und 
die Betroffenenrechte. Sie erlaubt keine 
pauschale Vorgehensweise. Für die pri- 
vilegierten Zwecke wird lediglich eine 
Flexibilisierung des Datenschutzes er- 
öffnet.” Gemäß Art. 89 Abs. 1 DSGVO 
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sind für die Vorzugsbehandlung der 
Forschungsnutzung in jedem konkre- 
ten Einzelfall geeignete Garantien zu 
geben, von denen aber im EHDS allen- 
falls allgemein die Rede ist. Selbst bei 
den privilegierten Forschungszwecken 
gilt, dass der zulässige Umfang und die 
Verarbeitungstiefe und Auswertungsin- 
tensität sensitiver Daten immer von dem 
Niveau des Schutzes durch geeignete 
Garantien und Maßnahmen abhängt.” 

Eine Privilegierung der Forschung 
gegenüber den sonstigen in Art. 34 
Abs. 1 genannten Zwecken setzt zudem 
voraus, dass der Begriff der Forschung 
geklärt ist. Dies ist aber weder beim 
Forschungsdatenzentrum der Fall’ 
noch beim EHDS-E. Es hätte nahegele- 
gen die einschränkende Definition des 
Bundesverfassungsgerichts zu über- 
nehmen, für die es bisher keine allge- 
meine gesetzliche Umsetzung gibt und 
die europarechtlich bisher nicht aner- 
kannt ist.”° 


Unabhängige Zugangsstellen 


Ein weiteres Regelungsdefizit bei der 
Datennutzung durch wissenschaftliche 
Forschung in den 88 303a SGB V findet 
sich auch im EHDS-E: Forschung muss, 
um Grundrechtseingriffe bei Dritten 
rechtfertigen zu können, unabhängig 
sein.’ Sollen die Grundrechtseingriffe, 
wie beim EHDS, über die Zugangsstellen 
und die Datenhalter, also über Dritte ver- 
mittelt werden, so muss auch der Prozess 
des Grundrechtseingriffs gewährleisten, 
dass dies im Interesse unabhängiger 
Forschung erfolgt. Dies wird im EHDS-E 
nicht gewährleistet. Der EHDS-E über- 
lässt es den Mitgliedstaaten weitgehend, 
wie sie die Zugangsstellen organisieren. 
Diese werden zur Zusammenarbeit mit 
Vertretern der Interessenträger angehal- 
ten, namentlich der Patienten, Datenin- 
haber und Datennutzer. Interessenkon- 
flikte sind zu vermeiden. Die Entschei- 
dungen erfolgen weisungsfrei (Art. 36 
Abs. 3). Diese Regeln sind zwar enger als 
die für das deutsche Forschungsdaten- 
zentrum, wo die Entscheidungen durch 
eine dem Bundesgesundheitsministe- 
rium nachgeordnete Behörde erfolgen. 
Doch genügen die Festlegungen nicht, 
um qualifizierte unabhängige Entschei- 
dungen mit den hochsensitiven Daten 
sicherzustellen. 


Allmächtige Kommission 


Unabhängigkeit bedeutet insbeson- 
dere auch Unabhängigkeit von der Exe- 
kutive, d.h. auf europäischer Ebene von 
der Administration der EU-Kommission. 
Es wäre unerträglich, wenn die Exeku- 
tive durch ihre normativen Vorgaben 
den Umgang mit den sensitiven Gesund- 
heitsdaten unkontrolliert vorgeben 
könnte. Die Kommission soll beim EHDS 
durch delegierte Rechtsakte gemäß 
Art. 67 Folgendes bestimmen können: 


« Festlegung der prioritär bereitzu- 
stellenden Gesundheitsdaten (Art. 5 
Abs. 2), 

Zusätzliche Aufgaben der nationa- 
len digitalen Gesundheitsbehörden 
(Art. 10 Abs. 3), 

Befreiung von den analogen Informa- 
tionspflichten über EHR-Systeme und 
Wellnessprodukte (Art. 25 Abs. 3), 
Festlegung der digitalen Informati- 
onspflichten für EHR-Systeme und 
der registrierungsfähigen Wellness- 
Produkte (Art. 32 Abs. 4), 
Erweiterung der Mindestkategorien 
zur Daten-Sekundärnutzung (Art. 33 
Abs. 7), 

Änderung der Aufgabenliste für Zu- 
gangsstellen (Art. 37 Abs. 4), 
Änderung der jährlichen Publikati- 
onspflicht der Zugangsstellen (Art. 39 
Abs. 3), 

Änderung der Bereitstellungspflich- 
ten der Dateninhaber (Art. 41 Abs. 7), 
Änderung der Pflichtenliste für Zu- 
gangsanträge (Art. 45 Abs. 7), 
Änderung der zu erfassenden Merk- 
male von Zugangsgenehmigungen 
(Art. 46 Abs. 8), 

Änderung der Kategorien für Health- 
Data@EU-Teilnehmer (Art. 52 Abs. 7), 
Änderung der technischen Merkmale 
und Spezifikationen der Datenqua- 
litäts- und -nutzenlabels (Art. 56 
Abs. 4). 


Der Kommission würden damit sehr 
weitgehende Befugnisse zur Modifikati- 
on des EHDS mit hoher Grundrechtsre- 
levanz eingeräumt. Dem EU-Parlament 
und dem EU-Ratwird lediglich ein befris- 
tetes Veto-Recht zugestanden (Art. 67 
Abs. 6). Es bedarf einer vertieften Prü- 
fung, inwieweit damit die europäischen 
Gesetzgebungsbefugnisse von Rat und 
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Parlament beschnitten werden und in- 
wieweit dadurch nationale Gesetzge- 
bungskompetenzen tangiert werden. 
Angesichts der schon bestehenden Wei- 
te der im EHDS-E vorgesehenen Über- 
mittlungspflichten ist eine Befugnis- 
ausweitung durch delegierte Rechtsak- 
te kaum vermittelbar. Richtig ist wohl, 
dass Beschränkungen hinsichtlich des 
umfangreichen Datenkranzes sinnvoll 
sind, insbesondere während der Einfüh- 
rungs- und Konsolidierungsphase des 
EHDS. Angesichts der Dynamik der Di- 
gitalisierung des europäischen Gesund- 
heitswesens ist eine gewisse normative 
Flexibilität sinnvoll. Dadurch darf aber 
nicht der Wesentlichkeitsgrundsatz bei 
Eingriffsbefugnissen in Grundrechtspo- 
sitionen aufgegeben werden. 


Fazit 


Der EHDS ist ein hochambitionier- 
tes Gesetzgebungsverfahren mit hoher 
Relevanz für die Gesundheitssysteme 
in den EU-Mitgliedstaaten und für die 
Grundrechte der Betroffenen. Die damit 
verfolgten Anliegen sind berechtigt. Die 
konkrete Ausgestaltung bedarf aber in 
vieler Hinsicht noch der intensiven Dis- 
kussion und Korrektur. Insofern ist nicht 
damit zu rechnen, dass über dieses Ge- 
setzgebungsvorhaben kurzfristig Einig- 
keit hergestellt wird. Qualität ist wichti- 
ger als Schnelligkeit. Zugleich muss das 
Gesetzgebungsverfahren von techni- 
schen Entwicklungen und Standardisie- 
rungen begleitet werden, ohne die der 
EHDS ein Papiertiger bleiben würde. 

Die normativ vorzugebende und in 
der Praxis zu lösende Aufgabe, die Ab- 
wägung zwischen den Datenschutzin- 
teressen und den öffentlichen Interes- 
sen an der Sekundärnutzung grund- 
rechtskonform zu gestalten, ist weder 
im deutschen DVG noch im EHDS-E 
befriedigend geregelt. Entsprechende 
Vorgaben könnten auch in den von den 
Koalitionspartnern angekündigten Ge- 
setzen zu Forschungsdaten und zur Ge- 
sundheitsdatennutzung erfolgen. Diese 
Vorgaben müssen u.a. folgende Aspekte 
konkret sicherstellen: 


« Materielle Festlegungen zur Grund- 
rechtswertigkeit der eingesetzten Ge- 
sundheitsdaten wie der öffentlichen 
Nutzungsinteressen, 
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« prozedurale Vorgaben zur Anonymi- 
sierung, zur Aggregierung und zur 
Pseudonymisierung, 

Festlegungen zur Besetzung und zur 
Entscheidungsfindung der Zugangs- 
stellen, um unabhängige und qualifi- 
zierte Entscheidungen zum Datenzu- 
gang sicherzustellen, 

strafbewehrtes Reidentifizierungs- 
und Zweckentfremdungsverbot, 
privilegierende Sonderregelungen für 
die unabhängige wissenschaftliche 
Forschung, 

Einführung eines beschlagnahmefes- 
ten Forschungsgeheimnisses””, 
Datentransparenz für die Betroffenen, 
zeitnahe öffentliche Transparenz über 
Antragstellung und Zugangsgewäh- 
rung, 

Etablierung eines Prozesses zur Wahr- 
nehmung der Betroffenenrechte, ins- 
besondere des Auskunfts- und des 
Widerspruchsrechts, 

technische Absicherung der Kom- 
munikations- und Verarbeitungspro- 
zesse, 

unabhängige Aufsicht über die Ent- 
scheidungen der Zugangsstellen und 
regelmäßige Kontroll- und Stichpro- 
benverfahren mit sofortiger Interven- 
tionsmöglichkeit.°® 


Die regulative Aufgabe ist - ange- 
sichts des ambitionierten Vorhabens 
- eine große Herausforderung. Dabei 
muss darauf geachtet werden, dass mit 
den Regeln kein bürokratisches Monster 
entsteht, mit dem sinnvolle Sekundär- 
nutzungen faktisch verhindert werden. 
Der EU-Kommission kann das Kompli- 
ment gemacht werden einen Entwurf 
vorgelegt zu haben, der umfassend und 
strukturell gut durchdacht ist. Mit ihm 
ist es möglich, die heterogenen natio- 
nalen Landschaften der Verarbeitung 
von Gesundheitsdaten in der EU zusam- 
menzuführen, ohne diesen mit ihren 
Besonderheiten und Qualitäten über- 
mäßig Gewalt anzutun. 

Der EHDS-E ist aber nicht mehr als ein 
Entwurf, der noch auf den Feinschliff 
wartet. Dieser kann und muss in vieler 
Hinsicht auf EU-Ebene erfolgen. Die 
Hauptaufgabe bleibt aber insofern bei 
den Mitgliedstaaten. Diese müssen ihre 
gewachsenen Gesundheitssysteme an 
die geplante Kooperationsstruktur an- 
passen. Diese Aufgabe kann in Deutsch- 


land durch die im Koalitionsvertrag an- 
gekündigten Gesetze zu Forschungsda- 
ten und zur Gesundheitsdatennutzung 
in Angriff genommen werden. Mit einer 
zeitnahen Gesetzgebung kann der deut- 
sche Gesetzgeber zugleich gestaltenden 
Einfluss auf die weitere Diskussion zum 
EHDS nehmen. Parallel dazu muss die 
Praxis der Gesundheitsdatenverarbei- 
tung sich darauf einstellen, dass mit 
dem durch den EHDS erfolgenden Para- 
digmenwechsel schon heute Modifikati- 
onen angebracht sind. 
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Digitalisierung und Datenschutz: Schluss mit Ausreden! 


Wenn es bei der Digitalisierung hakt, 
zeigen die Finger schnell auf den Da- 
tenschutz als vermeintliche Bremse. 
Damit muss Schluss sein, kommentiert 
der Bundesdatenschutzbeauftragte 
Ulrich Kelber - damit der Blick auf die 
echten Hindernisse frei wird. 


Prof. Dipl.-Inf. Ulrich Kelber ist seit 
2019 der Bundesbeauftragte für den 
Datenschutz und die Informationsfrei- 
heit (BfDI). Von 2000-2018 war er Mit- 
glied des Deutschen Bundestags und von 
2013-2018 parlamentarischer Staatsse- 
kretär beim Bundesminister der Justiz 
und für Verbraucherschutz. Er ist Mit- 
glied im Executive Commitee der Weltver- 
einigung der Datenschutzbehörden und 
Vorsitzender der International Working 
Group on Data Protection in Technology. 


Deutschland braucht einen Digita- 
lisierungsschub. Egal, ob in der Ver- 
waltung, im Gesundheitswesen, bei 
der Mobilität oder im Bildungsbereich. 
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Doch wenn es bei Projekten wie eID, 
digitaler Gesundheitsdokumentati- 
on, Registermodernisierung oder Bil- 
dungsplattformen nicht läuft, ist der 
vermeintlich Schuldige schnell gefun- 
den: der Datenschutz. 

Unkonkrete und nie belegte Schuld- 
zuweisungen an den Datenschutz ha- 
ben sich in Talkshows, in Reden auf 
Konferenzen, Gastbeiträgen in Medien 
und einigen Leitartikeln durchgesetzt. 
Das ist einfach nur traurig und führt in 
eine Sackgasse des Denkens. Und das, 
obwohl es doch eigentlich darum geht, 
die erschreckenden Mängel in der Di- 
gitalisierung in Deutschland abzustel- 
len. Dafür müssen sich alle Beteiligten 
auch bei widerstreitenden wirtschaftli- 
chen Interessen zusammentun. 

Eine behauptete überzogene Regu- 
lierung in Deutschland und eine an- 
gebliche besonders strenge deutsche 
Auslegung der europaweit geltenden 
Datenschutzgrundverordnung existie- 
ren nachweisbar nicht. Im Gegenteil, 


meist sind die Erzählungen vom hin- 
derlichen Datenschutz leicht faktisch 
widerlegbar. Doch das hält die Akteure 
nicht davon ab, sie regelmäßig zu wie- 
derholen. 

Ein besonders absurdes Beispiel ist 
der Gesundheitssektor, wo sich die Ex- 
treme schmerzhaft zeigen: Die unzu- 
reichende Digitalisierung und föderale 
Unterschiede in der Gesetzgebung füh- 
ren dazu, dass hilfreiche Daten bis heu- 
te nicht erhoben oder zu wenig genutzt 
werden. Das schadet insbesondere den 
Patientinnen und Patienten. Denn so 
können nicht alle Möglichkeiten der 
Forschung genutzt werden, es lagen 
nicht genügend Erkenntnisse etwa 
über den Verlauf der Corona-Pandemie 
vor, Doppeluntersuchungen werden 
notwendig oder es kommt zu Fehlme- 
dikationen. 

Werden IT-Sicherheit und Daten- 
schutz im Gesundheitssektor nicht 
ausreichend berücksichtigt, können 
die besonders sensiblen Gesundheits- 
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daten andererseits leicht in falsche 
Hände geraten. Die teils sehr unange- 
nehmen Konsequenzen für die Betrof- 
fenen von Hacks oder Leaks finden in 
der öffentlichen Diskussion viel zu we- 
nig Beachtung. 


Ethikrat, gematik, Krankenkassen 
und Verbände: das gleiche Muster 


Ich unterstütze die eindringliche 
Forderung des Deutschen Ethikrats, 
dass die Digitalisierung des Gesund- 
heitssektors endlich vorankommen 
muss, um den Patientinnen und Patien- 
ten bestmögliche Hilfe zu geben. Aber 
statt die zwanzig Jahre Verzögerung 
bei Projekten, inkompatible Daten- 
formate, unzureichende Meldewege, 
mangelnde Softwarequalität und die 
gegenseitige Blockade der Interessens- 
gruppen anzuprangern, arbeitet sich 
der Ethikrat einseitig am Datenschutz 
ab und lässt dabei oft genug grundle- 
gende Faktenkenntnis vermissen. 

Besonders unerträglich war das Ver- 
halten des stellvertretenden Vorsitzen- 
den des Ethikrates, Nida-Rümelin, in 
den Hochzeiten der Corona-Pandemie. 
Da zog er von Talkshow zu Talkshow 
und behauptete, die Datenschützer 
seien schuld an zehntausenden Toten 
und hunderttausenden vernichteten 
Existenzen, weil sie eine „zahnlose 
Corona-Warn-App” erzwungen hätten. 
Man müsse sich stattdessen an den 
Apps in Südkorea, Japan und Taiwan 
orientieren. 

Doch obwohl die drei genannten 
Staaten gar keine besseren Gesamt-In- 
fektionszahlen als Deutschland hatten 
und haben, wiederholte Nieda-Rümelin 
seine Behauptung bis zuletzt; selbst 
nachdem er mehrfach über die grund- 
legenden Fakten informierte wurde: 
Südkorea verwendet seine App nicht 
zur Kontaktverfolgung, Japan nutzt 
exakt die gleiche Technologie wie 
Deutschland und Taiwan hat gar keine 
App in diesem Bereich. 

Ein Beispiel für faule Ausreden bei 
verschleppter Digitalisierung liefert 
leider die gematik. Das Unternehmen 
ist sozusagen das IT-Haus des Bundes 
für den Gesundheitssektor. Und sie 
schiebt immer noch - auch wenn sie 
sich in zunehmend besseren Struktu- 
ren um ihre Aufgaben kümmert - gerne 
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den Anforderungen von IT-Sicherheit 
und Datenschutz die Schuld für zum 
Teil seit Jahren verzögerte Projekte zu. 

Zuletzt behauptete der Bereichslei- 
ter eHealth & gematik des Bundesge- 
sundheitsministeriums im Januar in 
einem Interview, man brauche eine 
bessere Abwägung zwischen IT-Sicher- 
heits- und Datenschutzanforderungen 
auf der einen Seite und gut nutzbarer 
Digitalisierung auf der anderen Seite. 
Worauf er anspielte: Das Bundesamt für 
die Sicherheit in der Informationstech- 
nik (BSI) und meine Behörde, der B£DI, 
hatten den gematik-Vorschlag für eine 
von mehreren Einreichungsformen von 
eRezepten abgelehnt. 

Was er nicht erwähnte: Der abge- 
lehnte Entwurf hätte es mit minima- 
lem Aufwand ermöglicht, in mehr als 
18.000 Einrichtungen unrechtmäßig 
in die Rezeptdaten aller(!) Kranken- 
versicherten Einblick nehmen und da- 
mit Rückschlüsse auf Krankheiten aller 
Art ziehen zu können. Übrigens: BSI 
und BfDIhaben natürlich nicht einfach 
„Nein“ gesagt, sondern aufgezeidt, 
wie man die scheunentorgroße Sicher- 
heitslücke in einer Form schließt, die 
exakt die gleiche Bedienung bei voller 
Sicherheit ermöglicht. Auf die krude 
Idee, Nutzungskomfort gegen Sicher- 
heit und Grundrechtsschutz auszuspie- 
len, statt beides zu bieten, muss man 
erst einmal kommen. 

Ein weiterer Fall sind die Kranken- 
kassen und einige Verbände, die ihre 
eigenen Interessen auch dadurch ver- 
folgen, dass sie gegen IT-Sicherheit 
und Datenschutz schießen, sehr wohl 
zum Nachteil der Versicherten und bis 
hin zur Gefährdung von Patienten- 
wohl. Die Krankenkassen statten ihre 
Versicherten zum Beispiel nicht mit 
einer PIN für deren elektronische Ge- 
sundheitskarte aus. Mit eGK und PIN 
könnten diese sich aber sicher unter 
anderem bei der elektronischen Pati- 
entenakte anmelden oder eRezepte in 
der Apotheke einlösen. 

Stattdessen fordern die Krankenkas- 
sen immer wieder die Zulassung weni- 
ger sicherer Technologien zur Authen- 
tifizierung, zuletzt warb die Techniker 
Krankenkasse sogar bei Nutzer:innen 
ihrer App, die sich für die sichere Au- 
thentifizierung mit eGK entschieden 
hatten, dafür, doch auf die weniger si- 


chere, von BSI und BfDI nur noch über- 
gangsweise geduldete Variante ohne 
eGK umzusteigen. Man stelle sich vor, 
die Banken würden es ihren Kunden 
besonders schwierig machen, Bank- 
karten mit PIN zu nutzen und wieder 
zur Unterschrift auf dem Scheck zu- 
rückkehren wollen. 

Besonders ärgerlich sind auch die 
Versuche, eigene Interessen an ganz 
anderer Stelle durch Kritik an IT-Si- 
cherheit und Datenschutz durchzuset- 
zen. Ein besonders schlimmes Beispiel 
war der Generalsekretär der Deutschen 
Gesellschaft für Orthopädie und Un- 
fallchirurgie (DGOU), der behauptete, 
man dürfe die Gesundheitsdaten eines 
bewusstlosen Patienten im Rettungs- 
wagen nicht an das angefahrene Kran- 
kenhaus vorab übermitteln, weil ja die 
Einwilligung des Patienten fehle. Der 
Datenschutz in diesem Bereich müsse 
heruntergesetzt werden, forderte er. 
Man kann nur hoffen, dass kein Not- 
arzt diesen gefährlichen Quatsch ge- 
lesen hat. 

Auf genau der gleichen Grundlage, 
auf der man lebensrettende medizini- 
sche Maßnahmen wie beispielsweise 
Luftröhrenschnitte an einem bewusst- 
losen Patienten im Rettungswagen 
vornehmen darf, kann man natürlich 
auch die Daten an das behandelnde 
Krankenhaus geben. Alles das weiß der 
Verband, der auf der anderen Seite aber 
tatsächlich ein verbandsinternes Da- 
tenschutzproblem hat: Er wünscht sich 
die verpflichtende Einspeisung aller 
solcher Daten in bestimmten medizi- 
nischen Fällen in sein auf privatrecht- 
licher Basis betriebenes Register. Das 
geht aber nur mit einer gesetzlichen 
Grundlage, wie sie es zum Beispiel beim 
Implantateregister gibt. 


Bündnis für schnellere Digitalisierung 


Ähnliche Beispiele wie aus dem Ge- 
sundheitssektor findet man auch in an- 
deren Bereichen. Die einen beschweren 
sich über die Anforderungen von IT- 
Sicherheit und Datenschutz, um über 
eigene Versäumnisse, Minderleistun- 
gen und Unkenntnisse hinwegzutäu- 
schen. Die anderen nutzen die völlig 
berechtigte Debatte über die schwache 
Digitalisierung in Deutschland, um ge- 
gen IT-Sicherheits- und Datenschutz- 
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regelungen zu schießen, die angeblich 
wichtige Geschäftsmodelle verhindern. 
Dabei sind es in Wirklichkeit Geschäfts- 
modelle, die die Bürgerinnen und 
Bürger benachteiligen, wie etwa das 
massenhafte Sammeln von Verhaltens- 
daten der Kunden. 

Was wir brauchen, ist ein Bündnis 
für schnelle Digitalisierung, das Lö- 
sungen voranbringt, denen die Bürge- 
rinnen und Bürger vertrauen können. 
Dafür sind Sicherheit und Schutz der 
Daten unabdingbare Voraussetzun- 
gen. Ein Bündnis, dass sich gegen das 
Lamentieren in den Talkshows stellt. 
Und damit Handelnde darin bestärkt, 
legale und mögliche Datenverarbei- 
tungen auch durchzuführen. Ein 
Bündnis, bei dem alle Seiten anerken- 
nen, dass die verschiedenen Grund- 
rechte nicht gegeneinanderstehen. 
Ein Bündnis, das versteht, dass gute 
Lösungen möglich sind, wenn die Be- 
teiligten von Anfang an miteinander 
sprechen und zusammenarbeiten. 

Wenn also alle wichtigen Akteure 
endlich aufhören würden, sich am ge- 
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fährlichen Narrativ des bösen Daten- 
schutzes abzuarbeiten, würde der Blick 
frei auf die echten Hindernisse der Di- 
gitalisierung. 

Man hätte ein starkes Bündnis, das sich 
für ebenso starke Lösungen bei grundle- 
genden Projekten einsetzen könnte, wie 
etwa der eID, den digitalen Gesundheits- 
dokumentationen, der Modernisierung 
staatlicher Register, funktionierenden 
Bildungsplattformen und der Nutzung 
wichtiger Daten für das Gemeinwohl. 

Dazu müssen selbstverständlich 
auch die Datenschutzaufsichtsbehör- 
den einen Beitrag leisten: Mit enga- 
gierter Beratung und modernisierten 
eigenen Strukturen, um noch schneller 
abgestimmte Antworten der deutschen 
und europäischen Aufsichtsbehörden 
zu wichtigen rechtlichen und techni- 
schen Fragestellungen geben zu kön- 
nen, wie beispielsweise mit unserer 
Petersberger Erklärung vom November 
2022 zur Nutzung von Gesundheitsda- 
ten zu Forschungszwecken. 

Wir Datenschutzbehörden wollen 
zeigen, dass für uns alle Grundrechte 
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gleichrangig sind und wir nicht nur die 
informationelle Selbstbestimmung im 
Blick haben, denn das setzen wir täg- 
lich in der Praxis um. 

Wir Datenschutzaufsichtsbehörden 
halten dafür unser uneingeschränk- 
tes Dialogangebot an alle Beteiligten 
aufrecht. Deshalb freue ich mich sehr, 
dass mein immer wieder erneuertes 
Angebot für einen persönlichen Aus- 
tausch zu diesen Fragen vom Ethikrat 
nun endlich angenommen wurde. Pa- 
cken wires an! 


(Dieser Text wurde am 04.02.2023 als 
Gastbeitrag vom BfDI Prof. Ulrich Kel- 
ber auf https://netzpolitik.org/2023/ 
digitalisierung-und-datenschutz- 
schluss-mit-ausreden/ abgedruckt und 
steht unter der Lizenz CC BY-NC-SA 4.0: 
„Lizenz: Die von uns verfassten Inhalte 
stehen, soweit nicht anders vermerkt, 
unter der Lizenz Creative Commons BY- 
NC-SA 4.0.”) 


DSGVO leicht gemacht! 
Unser Datenschutz- 
Managementsystem 


© webbasierte Anwendung (SaaS) 
mit Zwei-Faktor-Authentisierung 


oO differenziertes Rollen- und Rechtekonzept 
inkl. Deeplink-Funktion 


O Statistikfunktionen und 
kontinuierliches Datenschutz-Monitoring 


umfangreiche Exportfunktionen 
praxisgerechte Datenschutz-Folgenabschätzung 
Abbildung komplexer Konzernstrukturen 


Vorlagen für Verfahrensbeschreibungen 
sowie Musterdokumente 
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Presseerklärung der DVD - Bonn, 15.12.2022 


Datenschützer: Registerkorrekturen müssen umgehend 


erfolgen 


Die Deutsche Vereinigung für Daten- 
schutz e.V. (DVD) macht auf ein um- 
fangreiches Gutachten ihres Vorstands- 
mitglieds Thilo Weichert aufmerksam, 
in dem die seit August 2022 erfolgende 
Veröffentlichung von Daten des Ver- 
eins-, des Handels-, des Genossen- 
schafts- und der Partnerschaftsregister 
unter www.handelsregister.de rechtlich 
hinterfragt wird. 

Das Gutachten kommt zu dem Ergeb- 
nis, dass die derzeitige Preisgabe von 
personenbezogenen Daten von Vereins- 
vorständen und Vertretungsberechtig- 
ten von Unternehmen im Internet weit- 
gehend nicht erforderlich und deshalb 
unzulässig ist. Sensible Angaben zur 
Geburt, zur Wohnung, zur Kontoverbin- 
dung oder gar Originalunterschriften 
können zum Identitätsdiebstahl und 
für sonstige kriminelle Machenschaften 
missbraucht werden. 

Die DVD bietet auf ihrer Webseite ei- 
nen Formulartext an, mit dem Betrof- 
fene sich gegen eine Veröffentlichung 
ihrer Daten zur Wehr setzen können. 
In einem Hinweisblatt werden prakti- 
sche Ratschläge gegeben, wie Betrof- 
fene ihre Rechte und insbesondere ihr 
Widerspruchsrecht gegen die Veröf- 
fentlichung geltend machen können 
(https://www.datenschutzverein.de/ 
hinweisblatthandelsregister/). 

Entgegen den ausdrücklichen gesetz- 
lichen Einschränkungen der Betrof- 
fenenrechte hat das Bundesjustizmi- 
nisterium schon signalisiert, dass den 
Betroffenen ein Widerspruchsrecht so- 
wie die Möglichkeit des Austauschs von 
Daten zusteht. Dieses Eingeständnis 
geht der DVD nicht weit genug, wie das 
Rechtsgutachten dargelegt: 

« Da für die Registerveröffentlichung 
nicht nur die Registergerichte, son- 
dern auch das Landesjustizministe- 
rium Nordrhein-Westfalen rechtlich 
verantwortlich ist, können sämtliche 
Betroffenenrechte gegenüber dem Mi- 
nisterium geltend gemacht werden. 
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« Aus Publizitätsgründen nicht erfor- 
derlich und deshalb von der Veröffent- 
lichung auszuschließen sind sensible 
Angaben von Vertretern von Gesell- 
schaften wie die Unterschrift und das 
Geburtsdatum. Von Vereinsvorstän- 
den veröffentlicht werden dürfen nur 
die Namen und der Wohnort, wenn 
die Vorstandstätigkeit aktuell besteht 
oder maximal 3 Jahre zurückliegt. 

Ein Ausschluss von der Veröffentli- 
chung setzt nicht voraus, dass zuvor 
die der Registrierung zugrundelie- 
genden notariellen Dokumente be- 
reinigt und ausgetauscht werden; die 
Bereinigung kann und muss vielmehr 
von den Registergerichten vorgenom- 
men werden. 

Es ist wohl nicht zu beanstanden, 
dass www.handelsregister.de weiter- 
hin online ist. Unabdingbar ist aber, 
dass individuelle Widersprüche vom 
Landesjustizministeium und vom 
Registergericht einzelfallbezogen be- 
handelt werden und bei fehlender Pu- 
blizitätserforderlichkeit von der Ver- 
öffentlichung ausgenommen werden. 


DVD-Vorstandsmitglied und Autor 
des Gutachtens Thilo Weichert: „Es ist 
ein Trauerspiel, wie sich bisher alle 
Verantwortlichen - einschließlich der 
zuständigen Datenschutzaufsicht - 
aus ihrer datenschutzrechtlichen Ver- 
antwortung stehlen und dass dadurch 
die von staatlicher Seite veröffentlich- 
ten sensiblen Daten jedermann zum 
Identitätsdiebstahl zur Verfügung ge- 
stellt werden.” 

DVD-Vorsitzender Frank Spaeing er- 
gänzt: „Die Politik muss tätig werden. 
Die rechtlichen Register-Grundlagen, 
welche gegen Verfassungs- und Euro- 
parecht verstoßen, sind insgesamt zu 
überarbeiten. Betroffene müssen trans- 
parent erkennen können, was mit ihren 
Daten geschieht. Nur solche Daten dür- 
fen über das Internet veröffentlicht wer- 
den, die zur Herstellung der Rechtssi- 


cherheit im Wirtschaftsleben unbedingt 
nötig sind.” 


Offizielle Reaktionen - was bisher 
(noch nicht) geschah 


Die DVD und das Netzwerk Daten- 
schutzexpertise (welches das Gutachten 
zur Registerveröffentlichung im Inter- 
net verfügbar macht) wandten sich an 
die für den Datenschutz in Nordrhein- 
Westfalen zuständige Aufsichtsbehör- 
de, die Landesbeauftragte für Daten- 
schutz und Informationsfreiheit (LDI 
NRW), in der Erwartung, dass diese das 
Anliegen der DVD unterstützt. Siewand- 
ten sich zudem an das Justizministeri- 
um Nordrhein-Westfalen (MJ NRW), 
das für den Betrieb des Registerportals 
beim Amtsgericht Hagen verantwortlich 
ist. Das MJ NRW antwortete und gab die 
(auch einen konkreten Verein betref- 
fende) Anfrage teilweise an das (zu- 
ständige) Registergericht, das Amtsge- 
richt Kiel, weiter, das auch antwortete. 
Im Folgenden werden Auszüge aus den 
Antworten dokumentiert. 


« LDINRW 


Die Antwort der LDI NRW vom 
19.12.2022 ist eher enttäuschend: 

„Ich kann Ihnen versichern, dass wir 
unsinsbesondere mit der Frage, ob eine 
justizielle Tätigkeit vorliegt oder nicht, 
intensiv auseinandergesetzt und auch 
mit dem AK Justiz abgestimmt haben. 
Selbst wenn man der Einschätzung 
des Gutachtens folgen wollte, weist 
der Kommentar, auf den sich das Gut- 
achten stützt, auf die unbedingt zu 
wahrende richterliche Unabhängigkeit 
hin. Insoweit bestünde auch nach der 
dort vertretenen Auffassung eine prak- 
tisch nicht aufzulösende rechtliche 
Pattsituation. 

Des Weiteren ist nach unseren tat- 
sächlichen Feststellungen bei der 
vorliegenden Konstellation keine ge- 
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meinsame Verantwortlichkeit für die 
inhaltlichen Daten gegeben. Sowohl die 
Veröffentlichungspflicht, als auch das 
Führen der Register liegen ausschließ- 
lich in der Verantwortung der jeweiligen 
Gerichte. In Hagen wird nur der tech- 
nische Rahmen zur Verfügung gestellt, 
mittels dessen die jeweiligen Gerichte 
ihrer Veröffentlichungspflicht nach- 
kommen können. Auch hier können wir 
der Sicht des Gutachtens nicht folgen. 
Unabhängig davon bin ich in engem 
Austausch mit unserem Justizministeri- 
um, um ungeachtet der Kontrollzustän- 
digkeiten auf eine datenschutzkonfor- 
me Lösung zu drängen. Ich teile Ihre 
Auffassung, dass eine zügige Lösung im 
Interesse der Betroffenen wäre. Doch 
diese werde ich bei unklarer Rechtslage 
und mit Maßnahmen, die ich nicht un- 
mittelbar vollziehen kann, kaum errei- 
chen. Daher hoffe ich auf eine schnel- 
lere Lösung im Konsens mit der Justiz.” 


 MINRW 


Das Ministerium der Justiz des Lan- 
des Nordrhein-Westfalen (MJ NRW) 
reagierte auf die Forderung nach Be- 
reinigung der im Internet veröffentlich- 
ten Vereinsregister mit Schreiben vom 
18.01.2023 wie folgt (Az. 1511E-IT/ 
Justizportal 2023): 

„Durch das Ministerium der Justiz des 
Landes Nordrhein-Westfalen wird nur 
dietechnische Infrastruktur für den Be- 
trieb des gemeinsamen Registerportals 
der Länder bereitgestellt. Das gemein- 
same Registerportal dient der zentralen 
Einsichtnahme in die bei den jeweiligen 
Registergerichten geführten Register 
(Handelsregister, Genossenschaftsre- 
gister, Vereinsregister etc.). Bei einem 
Abruf werden die Daten der lokalen Re- 
gister zur Einsichtnahme bereitgestellt. 
Das gemeinsame Registerportal hält die 
Daten weder selbst vor, noch hat es die 
Datenhoheit. Letztere liegt bei den je- 
weiligen Registergerichten. 

l...] 

Zunächst möchte ich darauf hinwei- 
sen, dass sich der vertretungsberech- 
tigte Vorstand eindeutig aus dem Ver- 
einsregister ergeben muss. Im Rechts- 
verkehr vertritt der Vorstand den Verein 
im Außenverhältnis. Dies macht erfor- 
derlich, dass jeder Vorstand zweifelsfrei 
und eindeutig identifiziert werden kön- 
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nen muss. Dies gilt im Übrigen auch für 
die Vergangenheit, nicht nur für die Ge- 
genwart. Insoweit sei auf 8 67 BGB und 
835. 2Nr. 3 Vereinsregisterverordnung 
(VRV) verwiesen. Diese Vorschriften se- 
hen vor, dass in Spalte 3 unter Buchsta- 
be a die allgemeine Vertretungsregelung 
und unter Buchstabe b die Vertretungs- 
berechtigten (der Vorstand und etwaige 
Liquidatoren) mit Namen, Vornamen, 
Wohnort, Geburtsdatum und, soweit 
zweckmäßig, auch die Stellung im Vor- 
stand sowie besondere Vertretungs- 
befugnisse sowie die Änderung dieser 
Eintragungen unter kurzer Angabe des 
Grundes einzutragen sind. Demzufol- 
ge ist die Eintragung [...] als Vorstand 
unter Angabe von Vor- und Zunamen so- 
wie Geburtsdatum aus diesseitiger Sicht 
nicht zu beanstanden, sondern auch 
gesetzlich vorgeschrieben. 

Um die Registerpublizität und die ein- 
deutige Identifizierbarkeit im Rechts- 
verkehr herzustellen, gilt die DSGVO 
gem. & 79a BGB in Bezug auf das Ver- 
einsregister nur eingeschränkt. Insbe- 
sondere sieht 8 79a Abs. 3 BGB vor, dass 
das Widerspruchsrecht gem. Art. 21 
DSGVO nicht anzuwenden ist. Entge- 
gen Ihrer Auffassung kann damit der 
Veröffentlichung nicht widersprochen 
werden. 

In diesem Zusammenhang darf ich 
noch daraufhinweisen, dass diese Form 
der Beauskunftung schon seit Beste- 
hen des gemeinsamen Registers er- 
folgt ist. Weggefallen ist lediglich zum 
01.08.2022 die Kostenpflicht von 1,50 
EUR bzw. 4,50 EUR für die entsprechen- 
den Auskünfte. Vorfälle von Identitäts- 
diebstahl sind mir weder in der Vergan- 
genheit noch jetzt bekannt geworden. 

Da die Datenhoheit nicht bei mir liegt, 
sondern beim Amtsgericht [...], sind 
mir Maßnahmen in Bezug auf die Art 
und Weise der veröffentlichten Daten 
verwehrt. [...] Nur das Amtsgericht [...] 
als registerführende Stelle kann ent- 
scheiden, ob die Publizierung der Anga- 
ben notwendig ist oder nicht. 

Ich werde Ihrem Wunsch folgend Ihre 
Eingabe betreffend den Verein [...] auf 
dem Dienstweg [...] dem Amtsgericht 
[...] zukommen lassen. [...] 

Da die Gerichte jedoch unabhängig 
sind, kann ich auf deren Entscheidung 
und Maßnahmen von hier aus keinen 
Einfluss ausüben.” 


° Amtsgericht Kiel 


Ein vom MJ NRW weitergegebener 
Widerspruch eines Betroffenen an das 
Amtsgericht Kiel (zuständiges Regis- 
tergericht) wurde von diesem mit Da- 
tum vom 30.01.2023 beantwortet (Az. 
VR 1644 KI). Hier Auszüge aus der Ant- 
wort: 

„In der Registersache [...] wird zu 
Ihrem Schreiben vom 11.01.2023 auf 
& 79a Absatz 3 BGB hingewiesen. Gemäß 
8 79a Absatz 3 BGB steht nach Art 21 DS- 
GVO in Bezug auf die im Vereinsregister 
eingetragenen persönlichen Daten und 
die zum Vereinsregister einzureichen- 
den Dokumenten Ihnen kein Wider- 
spruchsrecht zu. 

Gemäß 8 3 Satz 3 Ziffer 3 b) der Ver- 
einsregisterverordnung sind die Vor- 
standsmitglieder mit Geburtsdatum 
und Wohnort ins Vereinsregister einzu- 
tragen. 

Es wird darauf hingewiesen, dass 
das Registergericht grundsätzlich da- 
von ausgeht, dass die eingereichten 
Dokumente mit den Anmeldenden ab- 
gestimmt sind, eine Veröffentlichung 
also gewünscht ist. Die Registerge- 
richte sind bei Anmeldung verpflich- 
tet, die eingereichten Urkunden in 
den Registerordner aufzunehmen, da 
sie Grundlage für das Eintragungsbe- 
gehren waren. Eine Bearbeitung oder 
Veränderung der Dokumente durch das 
Registergericht zum Schutz etwaiger 
Daten ist nicht zulässig. Das Gericht 
darf eingereichte Urkunden nicht ver- 
ändern. Die von Notar [...] erstellte Ur- 
kunde [...] kann durch eine geänderte 
Urkunde ersetzt werden. Sie müssen 
sich dazu an Notar [...] wenden, damit 
er alles Erforderliche veranlasst und 
eine Urkunde ohne Ihre vollständige 
Wohnanschrift einreicht (8 9 Absatz 7 
Handelsregisterverordnung analog). 

Gemäß 8 67 Absatz 1 BGB ist jede Än- 
derung des Vorstands vom Vorstand zur 
Eintragung ins Vereinsregister anzumel- 
den. Der Anmeldung ist eine Abschrift 
der Urkunde über die Änderung beizu- 
fügen. Die Angabe des Abstimmungser- 
gebnisses in einer Mitgliederversamm- 
lung ist eine Voraussetzung dafür um 
festzustellen, ob überhaupt eine ord- 
nungsgemäße Wahl erfolgt ist. Daher 
kommt hier ein Austausch der Urkunde 
nicht in Betracht.” 


29 


« Was daraus folgt 


Die LDI NRW und das Bundesjustiz- 
ministerium (BMJ) haben offenbar er- 
kannt, dass die seit August 2022 prak- 
tizierte Registerveröffentlichung aus 
Datenschutzsicht ein Problem darstellt. 
Wann und wie dieses Problem gelöst 
wird, ist aber nicht absehbar. 

Um insofern individuell wie auch 
generell eine datenschutzkonforme 
Lösung zu erreichen, werden Betrof- 
fene weiterhin ermuntert, sich gegen 
übergriffige Registerveröffentlichun- 
gen - z.B. unter Nutzung der DVD-Vor- 
lage - zur Wehr zu setzen. Zwar erklärt 
sich das MJ NRW für nicht zuständig, 
so scheint es aber bereit zu sein die 
Widersprüche an die jeweils zuständi- 
gen Registerbehörden weiterzugeben. 


Solange keine einheitlichen Vorgaben 
vom BMJ oder den Justizverwaltungen 
erfolgen, müssen die Registergerichte 
individuell entscheiden. Es kann daher 
nur gehofft werden, dass dies im Sinne 
des Datenschutzes und der Datenspar- 
samkeit erfolgt. 

Die rechtlichen Argumente der LDI 
NRW, des MJNRW und des Amtsgerichts 
Kiel beruhen ausschließlich auf admi- 
nistrativen und gesetzlichen Vorgaben 
und berücksichtigen nicht übergeord- 
netes Recht. Das von der DVD und dem 
Netzwerk Datenschutzexpertise veröf- 
fentlichte Rechtsgutachten begründet 
aber das Widerspruchsrecht der Betrof- 
fenen und die Löschpflicht im Register 
aus übergeordnetem Recht, nämlich 
dem Grundrecht auf Datenschutz und 
der europäischen Datenschutz-Grund- 
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verordnung. Diese Vorgaben gehen 
den nationalen Gesetzen und Verwal- 
tungsverordnungen vor und führen 
dazu, dass diese nicht angewendet 
werden dürfen. 

Daher sollen Betroffene sich durch die 
Aussagen der Justizverwaltung nicht 
gehindert sehen ihre Datenschutzrech- 
te - wie von der DVD empfohlen - wahr- 
zunehmen. Inwieweit ein gerichtliches 
Vorgehen auf dem Klageweg Erfolg ha- 
ben wird, kann angesichts der unklaren 
Rechtslage nicht prognostiziert werden. 
Erfahrungen mit den Registerveröffent- 
lichungen können weiterhin ausge- 
tauscht werden mit 
Thilo Weichert, 

Waisenhofstraße 41, 24103 Kiel, 
weichert@datenschutzverein.de. 


Meinungsfreiheit bei politischer Kommunikation 


schützen 


Sehr geehrter Herr Bundesminister 
Wissing, 

sehr geehrte Frau Bundesministerin 
Faeser, 

sehr geehrte Frau Bundesministerin 
Lemke, 

sehr geehrter Herr Bundesminister 
Buschmann, 


wir schreiben Ihnen heute, um Sie 
zu ermuntern sich weiterhin stark für 
Transparenz bei bezahlter politischer 
Kommunikation einzusetzen. Der Ent- 
wurf einer europäischen Verordnung 
über die Transparenz und das Targeting 
politischer Werbung zu diesem Thema 
darf nicht verwässert und zu vage for- 
muliert werden. Wir sind sehr besorgt, 
dass einige Entwicklungen im Gesetzge- 
bungsprozess ein erhebliches Risiko für 
den demokratischen Pluralismus und 
die Meinungsfreiheit bedeuten. 

Politische Werbeanzeigen sind ein 
wichtiger und etablierter Teil von Wahl- 
kämpfen und gesellschaftlichen Wil- 
lensbildungsprozessen, haben aber 
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auch das Potenzial zu gesellschaftli- 
chen Spaltungen und zur Polarisierung 
zwischen politischen Lagern beizutra- 
gen. Insbesondere die Datensammlung 
und -verarbeitung für politische Wer- 
bezwecke birgt Risiken für die Privat- 
sphäre und freie Meinungsbildung aller 
Wähler:innen und für die Integrität de- 
mokratischer Prozesse wie Wahlen. Der 
im November 2021 veröffentlichte Vor- 
schlag der Europäischen Kommission ist 
ein wichtiger Schritt, um diese Risiken 
online wie auch offline zu adressieren. 
Der Kommissionsvorschlag wurde im 
Rat an einigen Stellen verbessert, weist 
aber weiterhin drei große Schwachstel- 
len auf, die es kurzfristig zu schließen 
gilt: Erstens ist es von höchster Be- 
deutung, dass es durch die Verordnung 
nicht zu einer Gleichstellung von be- 
zahlter politischer Werbung und unbe- 
zahlten politischen Meinungsäußerun- 
gen kommt. Dafür muss deutlicher und 
klarer definiert werden, was als bezahlte 
Dienstleistung bei politischer Kommu- 
nikation gilt. Politische Äußerungen, 


für deren Erstellung oder Verbreitung 
nicht bezahlt wird, sollten keinerlei 
Beschränkungen außer den bereits im 
Rahmen der Meinungsfreiheit gelten- 
den unterliegen. Andernfalls bestünde 
das Risiko einer enormen Einschrän- 
kung der Möglichkeit der Teilnahme am 
politischen Diskurs für Individuen und 
Organisationen. 

Zweitens sollte der Rat davon absehen 
Ausnahmen zu den Targeting-Regeln 
einzuführen. Wir möchten all jene im 
Rat unterstützen, die sich bei der ziel- 
genauen Nutzendenansprache (Targe- 
ting) für ein ausnahmsloses Verbot der 
Verwendung besonders sensibler Daten 
wie etwa zur Weltanschauung, sexueller 
Orientierung oder Religionszugehörig- 
keit aussprechen. Anhand solcher und 
anderer Daten lassen sich Menschen in 
kleine, homogene Gruppen einteilen, 
denen gezielt bezahlte Botschaften 
ausgespielt werden. Das birgt Miss- 
brauchs- und Diskriminierungspoten- 
zial. Die Mehrheit der Menschen lehnt 
(https://pure.mpg.de/rest/items/ 
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item_3188061_4/component/file_ 
3195148/ content) solche personalisier- 
te politische Werbung ab. Zudem fiele 
die Verordnung, sollte sie Ausnahmen 
erlauben, hinter die Targeting-Ein- 
schränkungen zu sensiblen Daten aus 
dem kürzlich in Kraft getretenen Digita- 
le-Dienste-Gesetz der EU (DSA) zurück. 
Deshalb sollte Artikel 12(2) des Verord- 
nungsentwurfs gestrichen werden. 
Drittens äußern wir uns besorgt, dass 
gut gemeinte Sonderregeln für offizi- 
elle Kommunikation von Regierungen 
ungewollte negative Auswirkungen ha- 
ben können. In der Ratsfassung vom 
22.11.2022 sind Teile der Regierungs- 
kommunikation von den Regeln ausge- 
nommen. Während es geboten und sinn- 
voll ist, öffentliche Kommunikation von 


Regierungen zu ermöglichen, besteht die 
Gefahr, dass bezahlte Regierungskom- 
munikation gegenüber oppositionellen 
oder zivilgesellschaftlichen Anzeigen 
privilegiert wird. Jegliche Ausnahmen 
von den Regeln der Verordnung sollten 
so präzise formuliert sein, dass eine sol- 
che Bevorzugung verhindert wird. 

Wir unterstützen die wichtigen und 
ehrgeizigen Ziele in Kommission, Rat 
und Europäischem Parlament zur Trans- 
parenz politischer Werbung. Der Rat hat 
kurzfristig die Möglichkeit sich für diese 
Ziele starkzumachen, wenn seine Fas- 
sung für eine klare Definition und klare 
Targeting-Regeln eintritt. Wir rufen die 
Bundesregierung auf sich mit anderen 
Mitgliedstaaten in den Verhandlungen 
im Rat dafür einzusetzen. 


Offener Brief vom 08.11.2022 


Mit freundlichen Grüßen 

Stiftung Neue Verantwortung e.V. 
D64 - Zentrum für Digitalen Fortschritt 
e.V. 

AlgorithmWatch 

Deutsche Vereinigung für Daten- 
schutz e.V. (DVD) 

Digitale Freiheit e.V. 

Digitale Gesellschaft e.V. 

Forum InformatikerInnen für Frieden 
und gesellschaftliche Verantwortung 
e.V. (FIfF) 

Gesellschaft für Informatik e.V. (GI) 
Wikimedia Deutschland e.V. 


Link zum offenen Brief und zu den 
Logos der Organisationen 
https://d-64.org/meinungsfreiheit-bei- 
politischer-kommunikation-schuetzen/ 


Für ein striktes Verbot biometrischer Überwachung 


24 zivilgesellschaftliche Organisationen, u.a. Digitalcourage, der Chaos Computer Club und 
AlgorithmWatch, fordern: Biometrische Überwachung muss strikt verboten werden! 


Aktuell arbeitet der Rat der EU, indem 
die Regierungen der Mitgliedsstaaten 
vertreten sind, an seiner Position zur so- 
genannten KlI-Verordnung. Die aktuelle 
Fassung weist noch große Schlupflö- 
cher auf, die eine Überwachung mittels 
biometrischer Identifizierungsverfah- 
ren im Öffentlichen Raum ermöglichen 
würden. 

Im Koalitionsvertrag hat die Bundes- 
regierung ein striktes Verbot biometri- 
scher Überwachung verankert. Die un- 
terzeichnenden zivilgesellschaftlichen 
Organisationen fordern die deutsche 
Regierung auf konsequent an ihrer Po- 
sition festzuhalten und sich für ein um- 
fassendes Verbot biometrischer Über- 
wachung einzusetzen! 


Sehr geehrte Mitglieder der deutschen 
Bundesregierung, 

Wir wenden uns an Sie im Namen von 
24 zivilgesellschaftlichen Organisatio- 
nen anlässlich der Verhandlungen zur 
europäischen Verordnung über Künstli- 
che Intelligenz (KI-Verordnung), die in 
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vollem Gange sind und bezüglich derer 
sich der EU-Rat demnächst auf eine all- 
gemeine Ausrichtung einigen wird. 

Die unterzeichnenden Organisationen 
begrüßen es sehr, dass die Bundesregie- 
rung in ihrem Koalitionsvertrag expli- 
zit festgehalten hat, dass biometrische 
Identifikation im öffentlichen Raum 
durch eine EU-weite Gesetzgebung aus- 
geschlossen werden muss. Die KI-Ver- 
ordnung und insbesondere der Artikel 5d 
des Entwurfes könnten mit ihren zusätz- 
lichen rechtlichen Absicherungen zu den 
bereits bestehenden rechtlichen Rah- 
menbedingungen ein sinnvolles Instru- 
ment für ein sinnvolles Verbot werden. 

Bedauerlicherweise sehen wir in der 
letzten Kompromissversion des Rates 
weiterhin weitgehende Lücken, die ein 
umfassendes und zuverlässiges Verbot 
der biometrischen Identifizierung im 
öffentlichen Raum verhindern würden. 
« Erstens betrifft das Verbot in Artikel 

5d nur „Echtzeit“-biometrische Iden- 

tifizierungssysteme in öffentlich zu- 
gänglichen Räumen. 


« Zweitens ist das Verbot auf Strafver- 
folgungsbehörden oder in deren Auf- 
trag handelnde Akteure beschränkt 
- eine Einschränkung, die die Über- 
wachung durch andere öffentliche 
und private Akteure nicht verhindern 
würde und die im Koalitionsvertrag so 
nicht erkennbar ist. 

Drittens sind in den Unterabsätzen im 
Artikel 5d eine Reihe von Ausnahmen 
aufgeführt, in denen dieses Verbot 
nicht gelten sollte, was dessen Gehalt 
weitgehend aushöhlt. 

Viertens kann die Absicht des EU-Ra- 
tes, dass die KI-Verordnung nicht an- 
wendbar sein soll, wenn ein Mitglied- 
staat sich auf die «nationale Sicher- 
heit» beruft, zur Rechtfertigung des 
Einsatzes biometrischer Identifizie- 
rungssysteme führen, die eine Massen- 
überwachung ermöglichen können. 


In anderen Worten: Das Verbot von bio- 
metrischer Überwachung in Art. 5d des 
KI-Verordnungsentwurfs vermag in sei- 
ner aktuellen Form nicht die vielfältigen 
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Grundrechtsverletzungen, die diese Prak- 
tik mit sich bringen kann, zu verhindern. 

Wir sehen somit eine Diskrepanz zwi- 
schen der im Koalitionsvertrag vertrete- 
nen Position und dem, was sich derzeit 
bei der Ratsposition zur KI-Verordnung 
abzeichnet. Vor dem Hintergrund der 
Bemühungen der Bundesregierung für 
ein Verbot von biometrischer Überwa- 
chung im öffentlichen Raum - und da- 
mit für die Umsetzung dieses zentralen 
Koalitionsvertragsversprechens - rufen 
wir Sie auf sich in dieser entscheiden- 
den Phase der Verhandlungen noch- 
mals explizit dafür stark zu machen. 


Ein deutliches Signal der deutschen 
Bundesregierung an die anderen EU- 
Mitgliedstaaten zum jetzigen Zeitpunkt 
wäre zentral, um umzusetzen, was die 
Koalition im Dezember vergangenen 
Jahres versprochen hat. Das Verbot von 
biometrischer Überwachung in der KI- 
Verordnung wird nur dann zuverlässig 
unsere Grundrechte schützen, wenn 
dieses nicht voller Schlupflöcher ist. Die 
europäische Bevölkerung zählt auf Sie. 


Unterzeichnende Organisationen: 
AlgorithmWatch, AlgorithmWatch Swit- 
zerland, Access Now, Amnesty Interna- 


Herbst 2022, Istanbul, Türkei 


tional Deutschland, Article 19, Asociatia 
pentru Tehnologie si Internet, Chaos 
Computer Club, Citizen D, Digitalcoura- 
ge, Digitale Freiheit DE, Digitale Gesell- 
schaft, Digitale Gesellschaft CH, ECNL, 
EDRi, Electronic Frontier Finland, Elek- 
tronisk Forpost Norge, epicenter.works, 
Homo Digitalis, Initiative Schwarze 
Menschen in Deutschland, Irish Council 
for Civil Liberties (ICCL), IT-Political As- 
sociation of Denmark, Open Knowledge 
Foundation, Reporters Without Borders 
(RSF) Germany, Wikimedia Deutschland 


Gesichtsüberwachungstechnologie und andere Formen 
der biometrischen Massenidentifikation verbieten 


Wir, die Unterzeichner, fordern ein Ver- 
bot der Entwicklung, des Einsatzes und 
der Nutzung von Gesichtsüberwachungs- 
technologie und von anderen Formen der 
biometrischen Massenidentifizierung. 


Die  Gesichtsüberwachungstechno- 
logie kommt heute zur Identifizierung 
von Menschen, zur Verhaltensbewer- 
tung und für prädiktive Analysen zum 
Einsatz. Die Auswirkungen der weitge- 
hend unregulierten Technologie sind 
weitreichend. 

Die Gesichtsüberwachungstechnolo- 
gie kann ganze Stadtgebiete kontrol- 
lieren und gleichzeitig die Identität von 
Zehn- oder Hunderttausenden von Men- 
schen erfassen. 

Gesichtsüberwachungstechnologie 
verstärkt die Identifikationsasymmetrie 
zwischen Personen und Geräten, wenn 
sie verborgen mit heimlicher Datener- 
fassung erfolgt. 

Gesichtsüberwachungstechnologie 
hilft dabei, abweichende Meinungen zu 
unterdrücken, Minderheiten zu diskri- 
minieren und politische Freiheiten ein- 
zuschränken. 

Wir nehmen mit Besorgnis aktuelle 
Berichte zur Kenntnis, wie es bei der 
Sammlung von Gesichtsbildern zu Vor- 
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eingenommenheit, Nötigung und Be- 

trug kommt. 

Wir erinnern daran, dass die Zivilge- 
sellschaft in der Madrider Erklärung von 
2009 ein Moratorium für die Entwick- 
lung und Anwendung von Gesichtser- 
kennung gefordert hat, soweit zuvor 
keine vollständige und transparente Be- 
wertung durch unabhängige Behörden 
und in einer demokratischen Debatte 
erfolgt ist. 

Wir erinnern auch an die Erklärung von 
Tirana aus dem Jahr 2019, in der ein Mo- 
ratorium für Gesichtserkennungstech- 
nologie im Rahmen von Maßnahmen zu 
Massenüberwachung gefordert wird. 

Und wir erinnern an die Kampagne 
„ReclaimYourFace”, die von 80.000 Ein- 
zelpersonen unterstützt wird und in der 
76 Organisationen aus 20 europäischen 
Ländern zusammenarbeiten, die über 
eine halbe Million Menschen vertreten, 
um ein Verbot dieser Massenüberwa- 
chung zu erreichen. 

Deshalb fordern wir die Staaten drin- 
gend auf, 

- die Entwicklung und den Einsatz von 
Gesichtsüberwachungstechnologie 
und anderen Formen der biometri- 
schen Massenidentifizierung zu ver- 
bieten, 


- alle derzeit verwendeten Gesichts- 
überwachungssysteme auf ihre 
Rechtmäßigkeit hin zu überprüfen 
und unrechtmäßig erlangte und ver- 
arbeitete personenbezogene Daten zu 
vernichten und 

- Untersuchungen zu Bewertung von 
Voreingenommenheit, Privatsphäre 
und Datenschutz, zu Risiken und 
Cyber-Anfälligkeit sowie zu den 
ethischen, rechtlichen und sozialen 
Auswirkungen im Zusammenhang 
mit dem Einsatz von Gesichtsüber- 
wachungstechnologien durchzu- 
führen. 


Initial unterzeichnende Einzelper- 
sonen: 

Giuliano Borter, CAIDP (Schweiz/ 
Niederlande); Dr. Sivaramakrishnan 
R Guruvayur, Aaquarians.ai (VAE); 
Prof. Markus Krebsz, The Human-Al. 
Institute (Deutschland/Großbritanni- 
en); Canan Erez (Deutschland); Vic- 
tor Famubode (Nigeria); Bisma Shoaib 
(USA); Saba Elizbarashvili (Georgien); 
Annett Bonuke (Kenia); Angel Arroyo 
(Spanien); Dalila Hoover, Esq., CIPP/ 
US/E (USA); Moises Velasco (Spanien); 
Melissa M’Raidi-Kechichian (Kanada/ 
Frankreich); Avantika Bhandari (USA); 
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Nayyara Rahman (Pakistan); Dr. Jor- 
dan Richard Schoenherr (Kanada); 
Mark A. Sayre (USA); Somaieh Nikpoor 
(Kanada); Alessio Tartaro (Italien); 
Juliet Murga, Security NextGen (USA); 
Nicholas Kisundu (Kenia); Marian Ela 
Ebillo (Philippinen); Roberto Löpez- 
Dävila (Puerto Rico); Marine Lipartia 
(Georgien); Unyime Akpabio (Groß- 
britannien); Naciye Busra Memisoglu, 
Queen Mary University of London (Tür- 
kei); Merve Hickok, CAIDP (USA); Marc 
Rotenberg, CAIDP (USA); Selim Alan 
(Türkei); Ashkan Alinaghian (Iran); 
Parisa Osivand (Iran); Rebecca Leeper 


(USA); Jethro Limjoco (Phillipinen); 
Omolola Oviroh (Südafrika); Mercy 
Chinazom Godwin (Nigeria); Dr. Mo- 
kesioluwa Fanoro (Südafrika); Gian- 
Maria Daffre (Schweiz); Dr. Grace S. 
Thomson (VAE); Prof. Emma Ruttkamp- 
Bloem, University of Pretoria & Center 
for AI Research (Südfrika); Dr. Andreas 
Geppert (Schweiz); Gian-Maria Daffre 
(Schweiz); Dr. Asli Telli (Deutschland); 
Ella Jakubowska (Belgien) 


Initial unterstützende Organisationen: 
African Center for Al and Digital Tech- 
nology (Mauretanien); AI and Digital 


10. Januar 2023, Offener Briefzu den 


Ethics Lab, Andre-Laurendeau Col- 
lege (Kanada); Amnesty International 
(weltweit); Center for Aland Digital Po- 
licy (weltweit); Deutsche Vereinigung 
für Datenschutz e.V. (DVD) (Deutsch- 
land); Digitalcourage (Deutschland); 
Digitale Gesellschaft (Schweiz); Elekt- 
ronisk Forpost Norge (Norwegen); Eu- 
ropean Digital Rights (Europa); Homo 
Digitalis (Griechenland) 


Den englischsprachigen Originalaufruf 
findet sich im Internet unter 

https://www.caidp.org/statements/ 
ban-facial-surveillance-technology/ 


Verhandlungen über ein umfassendes internationales 
Übereinkommen zur Bekämpfung der Nutzung von 
Informations- und Kommunikationstechnologien für 


kriminelle Zwecke 


Sehr geehrte Frau Vorsitzende H.E. 
Faouzia Boumaiza Mebarki 


Wir, die unterzeichnenden Organisa- 
tionen und Wissenschaftler, setzen uns 
online und offline für den Schutz und 
die Förderung der Menschenrechte ein. 
Unser gemeinsames Ziel ist es sicher- 
zustellen, dass Menschenrechte und 
Grundfreiheiten bei der Bekämpfung 
von Cyberkriminalität, der Sicherung 
elektronischer Beweismittel, der Er- 
leichterung der internationalen Zusam- 
menarbeit oder der Bereitstellung tech- 
nischer Hilfe immer Vorrang genießen. 

Wir befürchten, dass der vom Aus- 
schuss am 7. November 2022 veröffent- 
lichte Textentwurf mit dem offiziellen 
Titel „Konsolidiertes Verhandlungsdo- 
kument (CND) über die allgemeinen 
Bestimmungen und die Bestimmungen 
über die Kriminalisierung sowie über 
verfahrensrechtliche Maßnahmen und 
die Strafverfolgung eines umfassenden 
internationalen Übereinkommens über 
gegen die Nutzung von Informations- 
und Kommunikationstechnologien für 
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kriminelle Zwecke” darauf hinausläuft, 
gegen internationale Menschenrechte 
zu verstoßen. 

Das CND ist in seinem Umfang zu weit 
gefasst und nicht auf zentrale Themen 
der Cyberkriminalität beschränkt. Die 
CND enthält auch Bestimmungen, die 
unklar und nichthinreichend präzise 
sind und Aktivitäten kriminalisieren 
würden, was nicht mit den Menschen- 
rechtsverpflichtungen der Staaten, 
die in der Allgemeinen Erklärung der 
Menschenrechte (UDHR), dem Interna- 
tionalen Pakt für zivile und politische 
Rechte (ICCPR) und anderen interna- 
tionalen Menschenrechtsstandards 
und -instrumente, niedergelegt sind, 
in Einklang steht. Im Kapitel des CND 
zu Strafverfahren und Strafverfolgung 
fehlen wirksame Menschenrechtsga- 
rantien; zugleich erweitern die materi- 
ellen Bestimmungen den Anwendungs- 
bereich auf Absichten und Verhaltens- 
weisen, womit legitime Aktivitäten von 
Journalisten, Whistleblowern, Sicher- 
heitsforschern und anderen kriminali- 
sier werden. 


Es kann schwerwiegende Folgen ha- 
ben, wenn den Menschenrechten nicht 
in allen Kapiteln Priorität eingeräumt 
wird. Der Schutz der Grundrechte wur- 
de von Mitgliedstaaten während der 
Sitzungen des Ad-hoc-Ausschusses 
zur Ausarbeitung des Übereinkom- 
mensvorschlags immer wieder thema- 
tisiert. Viele Staaten und nichtstaatli- 
che Interessengruppen forderten, dass 
das vorgeschlagene Übereinkommen 
umfassend mit den internationalen 
Menschenrechten in Einklang stehen 
muss. Sämtliche vorgesehenen Maß- 
nahmen zur Einschränkung von Rech- 
ten müssen gesetzlich fixiert werden 
und bedürfen einer rechtlichen legiti- 
mierenden Begründung, die Bezug auf 
die betreffenden Rechte nimmt, und 
womit ein legitimes Ziel in erforderli- 
cher und verhältnismäßiger Weise ver- 
folgt wird. Die Bestimmungen müssen 
Rechtsstaatlichkeit respektieren durch 
ausreichende Spezifizierungen und die 
Sicherstellung einer und unabhängige 
Aufsicht, deren Umsetzung im beab- 
sichtigten Rahmen bleibt. 


33 


Esist äußerst beunruhigend, dass vie- 
le Bestimmungen des CND so formuliert 
sind, dass sie die Menschenrechte we- 
der inhaltlich noch prozedural wahren, 
so dass für weitere Verletzungen der 
Menschenrechte und der Rechtsstaat- 
lichkeit bei der Umsetzung Tür und Tor 
geöffnet werden. 

Uns beunruhigt insbesondere, dass die 
Kataloge 2 bis 10 eine lange Liste von 
Straftaten enthalten, die keine typische 
Cyberkriminalität sind, sowie Straftatbe- 
stände, die den Schutz der Meinungsäu- 
ßerung beeinträchtigen und die zulässi- 
gen Einschränkungen gemäß den inter- 
nationalen Standards für die Meinungs- 
freiheit ignorieren oder die mit vage und 
extensiv formuliert sind. 

Das Kapitel über Strafverfolgung soll- 
te auf Kernkriminalität im Internet be- 
schränkt werden, also auf Straftaten, 
bei denen Systeme der Informations- 
und Kommunikationstechnologie (IKT) 
sowohl direktes Ziel oder Instrument 
der Taten sind, Verbrechen, die ohne 
IKT überhaupt nicht möglich wären. 
Eine nützliche Referenz für die Arten 
von Straftaten, die von Natur aus IKT- 
Straftaten sind, findet sich in den Ar- 
tikeln 2-6 der Budapester Konvention. 
Sollten andere Cyberkriminalität einbe- 
zogen werden, empfehlen wir, diese „cy- 
bergestützten” Straftaten eng und strikt 
im Einklang mit internationalen Men- 
schenrechtsstandards zu definieren. 

Straftatbestände, bei denen IKT-Sys- 
teme einfach ein Werkzeug sind, das 
manchmal bei der Begehung verwendet 
wird, sollten von dem vorgeschlagenen 
Übereinkommen ausgenommen wer- 
den. Dazu gehören solche Tatbestände, 
die nach geltendem innerstaatlichem 
Recht verboten sind und nur zufällig 
IKT-Systeme betreffen oder die solche 
Systeme nutzen, ohne sie Systeme an- 
zugreifen oder zu schädigen, was bei ei- 
nigen der Tatbestände in den Katalogen 
2 und 10 der Fallist. 

Wir sind besonders besorgt über die 
Aufnahme von Inhaltsdelikten wie 
„Straftaten im Zusammenhang mit Ext- 
remismus” (Artikel 27) und „Straftaten 
im Zusammenhang mit Terrorismus” 
(Artikel 29). Diese Bestimmungen 
missachten bestehende Menschen- 
rechtsstandards, wie sie von verschie- 
denen UN-Gremien zu Richtlinien und 
nationalen Strategien zur Bekämpfung 
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und Prävention von Terrorismus und 
gewaltbereitem Extremismus präzisiert 
wurden. Insbesondere Vertreter von 
Organisationen zur Meinungsfreiheit 
haben bekräftigt, dass weit gefasste 
und undefinierte Begriffe wie „Terro- 
rismus” und „Extremismus“ nicht zur 
Grundlage zur die Einschränkung der 
Meinungsfreiheit verwendet werden 
sollten. Es gibt zudem keine einheit- 
lichen Definitionen dieser Konzepte 
im Völkerrecht, viele Staaten nutzen 
diese Mehrdeutigkeit, um unter ande- 
rem Menschenrechtsverletzungen wie 
politisch motivierte Verhaftungen und 
strafrechtliche Verfolgung von Mitglie- 
dern der Zivilgesellschaft, unabhängi- 
gen Medien und Oppositionsparteien 
zu rechtfertigen. 

Allgemeiner gesagt: Die Einbeziehung 
mehrerer inhaltsbezogener Straftaten 
ist zutiefst besorgniserregend (z.B. 
Straftaten in den Katalogen 4, 7, 8 und 
9). Wie wir immer wieder während der 
Verhandlungen gefordert haben, sollte 
diese Konvention keine Äußerungsde- 
likte enthalten. Die Einbeziehung die- 
ser Tatbestände birgt ein erhöhtes Risi- 
ko, dass die vorgeschlagene Konvention 
gegen den bestehenden internationalen 
Schutz der Meinungsfreiheit verstößt 
und dazu verwendet wird, die geschütz- 
te Meinungsäußerung nach internatio- 
nalen Menschenrechtsstandards einzu- 
schränken. 

Darüber würden Maßnahmen gegen 
in Katalog 1 aufgeführten Kerndelikte 
der Cyberkriminalität zu Einschränkun- 
gen zu wesentlichen Arbeitsmethoden 
von Journalisten, Whistleblowern und 
Sicherheitsforschern führen, weshalb 
diese überarbeitet werden müssen. 
Artikel 6 und 10 beispielsweise sollten 
sich auf betrügerische Absichten und 
auf Schadenswirkungen beschränken 
-was viele Delegationen während der 
Diskussion zu diesem Thema auf der 
zweiten Fachtagung als dringend zu be- 
rücksichtigen gefordert haben. 

Auch die Bestimmungen zu den Ver- 
fahrensbefugnissen in der Konvention 
geben Anlass zur Sorge. Die von der Kon- 
vention geforderten Ermittlungsbefug- 
nisse sollten nur in Bezug auf Strafta- 
ten zur Verfügung stehen, die unter die 
Konvention fallen. Das Übereinkommen 
betrifft die Cyberkriminalität und darf 
nicht zu einem Allzweckinstrument zur 


Untersuchung jedweder Straftat werden. 

Die allgemeine Verpflichtung zur 
Achtung der Grundsätze der Verhält- 
nismäßigkeit, Erforderlichkeit und 
Rechtmäßigkeit sowie des Schutzes 
der Privatsphäre und personenbezoge- 
ner Daten bei der Umsetzung von Ver- 
fahrensbefugnissen sind zu begrüßen; 
es sind aber zusätzliche Sicherungen 
zur Achtung der Menschenrechte bei 
der Umsetzung des Übereinkommens 
erforderlich. Zu diesem Zweck sollte 
Artikel 42 eine vorherige unabhängige 
(vorzugsweise gerichtliche) Genehmi- 
gung und eine unabhängige Ex-post- 
Überwachung vorsehen, die Notwen- 
digkeit wirksamer Rechtsbehelfe aner- 
kennen, eine strenge Transparenzbe- 
richterstattung und Benutzerbenach- 
richtigung durch die Vertragsstaaten 
fordern und Garantien vorsehen, dass 
Untersuchungsbefugnisse nicht die 
Integrität und Sicherheit digitaler 
Kommunikation und Dienste beein- 
trächtigen. 

Die Verfahrensmechanismen der Kon- 
vention sollten zudem sicherstellen, dass 
internationales Recht und Menschen- 
rechtsstandards in Bezug auf Beweismit- 
tel eingehalten werden. Beweise, die un- 
ter Verstoß gegen innerstaatliches Recht 
oder Menschenrechte erlangt wurden, 
sollten von Strafverfahren ausgeschlos- 
sen werden, ebenso wie alle weiteren Er- 
gebnisse aus diesen Beweisen. 

Die Sicherungsbefugnisse des Über- 
einkommens (Artikel 43 und 44) sollten 
gewährleisten, dass Aufbewahrungs- 
pflichten und Verlängerungen die be- 
gründete Annahme oder den Verdacht 
voraussetzen, dass eine Straftat be- 
gangen wurde oder begangen wird, und 
dass die Daten, deren Aufbewahrung 
beantragt wird, Beweise für diese Straf- 
tat liefern werden. Der Aufbewahrungs- 
zeitraum sollte, mit Verlängerungsmög- 
lichkeit, sechzig (60) Tage nicht über- 
schreiten; das Übereinkommen sollte 
klarstellen, dass nationale Gesetze kei- 
ne Aufbewahrung über den angegebe- 
nen Zeitraum hinaus zulassen dürfen. 
Artikel 43 sollte zudem präzisieren, dass 
Diensteanbieter verpflichtet sind, alle 
aufbewahrten Daten unverzüglich zu 
löschen, sobald der Aufbewahrungszeit- 
raum abgelaufen ist. 

Artikel 46 Absatz 4 begründet ernst- 
hafte Bedenken in Bezug auf mögliche 
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Verpflichtungen für Dritte wie z.B. Dien- 
steanbieter, entweder Schwachstellen 
bestimmter Software offenzulegen oder 
den zuständigen Behörden Zugang zu 
verschlüsselter Kommunikation zu ge- 
währen. 

Artikel 47 zur Erfassung von Ver- 
kehrsdaten in Echtzeit sollte überarbei- 
tet und präzisiert werden, um sicherzu- 
stellen, dass der Artikel keine pauscha- 
len oder willkürlichen Maßnahmen zur 
Vorratsdatenspeicherung zulässt. Es ist 
davon auszugehen, dass das allgemeine 
Abfangen, Speichern oder Aufbewahren 
von Kommunikationsinhalten oder der 
Metadaten die Verhältnismäßigkeits- 
prüfung nicht besteht. 

Die Artikel 47 und 48 sollten zur 
Klarstellung geändert werden, dass das 
staatliche Hacken von Endgeräten nicht 
erlaubt ist. Staatliche Hacking-Befug- 
nisse sind nach wie vor umstritten und 
können die Integrität und Sicherheit 
von Netzwerken, Daten und Geräten 
kollektiv schädigen. Es besteht kein 
Konsens darüber, wann diese Befugnis- 
se angemessen geltend gemacht werden 
können; es besteht die Gefahr, dass ei- 
nige Vertragsstaaten die Artikel 47 und 
48 unangemessen umsetzen, um diese 
Art der eingreifenden Überwachung 
einzubeziehen. 

Die Vertraulichkeitsbestimmungen 
des Übereinkommens (Artikel 43 Abs. 3, 
47 Abs. 3 und 48 Abs. 3) sollten darauf 
beschränkt werden, dass sie zur Ver- 
hinderung jeglicher Gefährdung von 
Ermittlungen erforderlich sind, die sich 
aus dem Fehlen der Vertraulichkeit er- 
geben könnten. 

Bei allem Respekt empfehlen wir die 
Überarbeitung der CND, um Folgendes 
sicherzustellen: 


° Der Anwendungsbereich des Überein- 
kommens sollte auf Angelegenheiten 
im Bereich des Strafjustizsystems be- 
schränkt sein und sowohl in seinem 
sachlichen als auch in seinem verfah- 
rensrechtlichen Anwendungsbereich 
auf Kernkriminalität im Internet be- 
schränkt sein. 

Die vorgeschlagenen Straftaten ge- 
mäß den Artikeln 6 und 10 sollten im 
Interesse des Schutzes von Journalis- 
ten, Informanten und Sicherheitsfor- 
schern so überarbeitet werden, dass 
sie sich auf betrügerische Absicht auf 
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Schadenswirkungen beschränken zu 
schützen [Katalog 1]. 

Die Kapitel zu den Straftatbeständen 
sollten auf Taten gegen die Vertrau- 
lichkeit, Integrität und Verfügbarkeit 
von Computerdaten und -systemen 
beschränken. 

Straftaten, bei denen IKT lediglich ein 
Werkzeug ist, das manchmalbei der Be- 
gehung einer Straftat eingesetzt wird, 
sollten von dem Übereinkommen aus- 
genommen werden [Kataloge 2-10]. 
Sollen andere Delikte aufgenommen 
werden, die nicht zum Kerngeschäft 
der Cyberkriminalität gehören, emp- 
fehlen wir eine eingrenzende und mit 
internationalen Menschenrechtsstan- 
dards zu vereinbarende Definition ist; 
in keinen Fall sollten Äußerungsde- 
likte aufgenommen werden. 
Straftatbestände, die Aktivitäten in 
einer Weise einschränken, die mit den 
Menschenrechten nicht vereinbar ist, 
sollten ausgeschlossen werden. Die 
Gefahr, dass über eine übermäßige 
Liste von Delikten zu Online-Inhalten, 
Sprachäußerungen und anderen Aus- 
drucksformen diese als Cyberkrimi- 
nalität im Sinne des vorgeschlagenen 
Übereinkommens werden können, 
ist ein großes Problem, das durch die 
Entfernung von Äußerungsdelikten 
angegangen werden sollte [Siehe Ka- 
talog 4, 7,8 und 9]. 
Ermittlungsbefugnisse in Kapitel III 
zu strafprozessualen Maßnahmen 
und Strafverfolgung sollten sorgfäl- 
tig abgegrenzt werden, damit sie eng 
an Ermittlungen zu bestimmten kri- 
minellen Handlungen und Verfahren 
gebunden bleiben und nur für Ermitt- 
lungen zu Straftaten zur Verfügung 
stehen, die ausdrücklich unter das 
Übereinkommen fallen (Artikel 41 
Absatz 2). 
Geheimhaltungsbestimmungen soll- 
ten nur gelten, wenn die Offenle- 
gung der fraglichen Informationen 
eine nachweisbare Bedrohung für 
eine einschlägige Untersuchung dar- 
stellen würde (Artikel 43 Abs. 3, 47 
Abs. 3 und 48 Abs. 3). 

Bei strafprozessualen Maßnahmen 
sollten Vorkehrungen bei den Ermitt- 
lungen und bei der Strafverfolgung 
vorgesehen werden, die detaillierte 
und solide Menschenrechtsgarantien 
und rechtsstaatlichen Standards mit 


sich bringen, einschließlich der For- 
derung nach unabhängiger Aufsicht 
und Kontrolle und dem Recht auf ei- 
nen wirksamen Rechtsbehelf. 

Die allgemeinen Bestimmungen, die 
das Abhören und Sammeln von Daten 
in Echtzeit zulassen, sollten dahinge- 
hend klarstellend geändert werden, 
dass sie kein Eindringen in Netzwer- 
ke und Endgeräte zulassen. Es fehlen 
bisher ausreichende Garantien, um 
der Bedrohung der Sicherheit und In- 
tegrität von Netzwerken, Daten und 
Geräten durch staatliches Hacking 
zu begegnen; die Vertragsstaaten 
sollten sich nicht auf Mehrdeutig- 
keiten im Text berufen können, um 
Hacking-Aktivitäten zu rechtfertigen 
(Artikel 47 und 48). 

Der Text sollte keine willkürliche oder 
unbefristete Aufbewahrung von Me- 
tadaten erlauben. 


Das Aushandeln eines internationa- 
len Übereinkommens über Cyberkrimi- 
nalität ist keine leichte Aufgabe. Es ist 
jedoch von größter Bedeutung, dass 
diese Konvention, die das Potenzial hat, 
Millionen von Menschen auf der ganzen 
Welt massiv zu beeinflussen, eindeutig 
klarstellt, dass die Bekämpfung der glo- 
balen Cyberkriminalität die Menschen- 
rechte stärken und nicht gefährden 
oder untergraben sollte. 

Vorgelegt von zivilgesellschaftlichen 
und akademischen Unterzeichnenden, 
die sich für die Teilnahme an den Sit- 
zungen des Ad-hoc-Ausschusses zur 
Ausarbeitung eines umfassenden in- 
ternationalen Übereinkommens zur 
Bekämpfung der Nutzung von Infor- 
mations- und Kommunikationstech- 
nologien für kriminelle Zwecke gemäß 
Operativ Nr. 8 oder Nr. 9 angemeldet 
haben. 


Access Now - International; ARTICLE 
19 - International; Association for Pro- 
gressive Communications (APC) - Inter- 
national; Data Privacy Brasil - Brazil; 
Derechos Digitales - Latin America; Elec- 
tronic Frontier Foundation - Interna- 
tional; Eticas Data Society Foundation 
- International; Global Partners Digital 
- International; Human Rights Watch - 
International; Privacy International 
- International; Red en Defensa de los 
Derechos Digitales - Mexico u.v.a.m. 
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Der englischsprachige Originaltext 
des Offenen Briefs findet sich im Inter- 
net unter https://www.crime-research. 
org/news/10.01.2023/4112/. 


Aufruf an Mitglieder des LIBE- 
Ausschusses 


Cybercrime-Bekämpfung spielt auf 
vielen internationalen Ebenen derzeit 
eine wichtige Rolle. Im Rahmen einer 
abgestimmten Kampagne mehrerer NGOs 
hat die DVD Mails an alle Mitglieder des 
LIBE-Ausschusses des EU-Parlaments mit 
einem Aufruf zur Abstimmung zu einem 
Abkommen, das vom Europarat (nicht 
zu verwechseln mit dem Rat der Europä- 
ischen Union) vorgeschlagen wurde, ver- 
sandt, welchen wir hier auch abdrucken: 


Dear MEP, 


I am writing on behalf of Deutsche 
Vereinigung für Datenschutz e.V. (DVD). 

On Thursday 12 January you will 
vote on the draft recommendation on 
the draft Council decision authorising 
Member States to ratify, in the interest 
of the European Union, the Second 
Additional Protocol to the Convention 
on Cybercrime on enhanced co-opera- 
tion and disclosure of electronic evi- 
dence (06438/2022 - C9 0146/2022 - 
2021/0383(NLE)). 

However, this Second Additional Pro- 
tocol is likely incompatible with the EU 
Treaties including the Charter of Fun- 
damental Rights. We therefore ask you 
to not give consent to its ratification 
by supporting and vote in favour ofthe 
draft recommendation put forward by 
the Rapporteur. 

We strongly believe that the European 
Parliament should not give its consent 
to the ratification of the Second Addi- 
tional Protocol to the Convention on 
Cybercrime (hereafter ‘the Protocol’) for 
the following reasons: 

1. The Protocol has several important 
shortcomings in terms of data protec- 
tion and procedural rights, which ma- 
kes it unlikely to be compatible with 
EU’s high data protection and privacy 
standards. EDRi’s analysis shows that, 
if ratified by the EU Member States wi- 
thout further amendments, the Proto- 
col could lead to substantive breaches 
ofEU law. 
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2. As an international agreement, the 
Protocol takes precedence over EU se- 
condary law, which includes the General 
Data Protection Regulation (GDPR) and 
the Law Enforcement Directive (LED), 
and hence, may undermine important 
safeguards in these instruments. 

3. Civil society, lawyers organisa- 
tions and EU institutions, among 
others EDRi, the European Data Pro- 
tection Board (https://edpb.europa. 
eu/our-work-tools/our-documents/ 
other/edpb-contribution-6th-round- 
consultations-draft-second_en), the EU 
Fundamental Rights Agency (https:// 
rm.coe.int/0900001680a2588f), 
the Council of Bars and Law So- 
cieties of Europe (CCBE) (https:// 
rm.coe.int/0900001680a25786) 
and Access Now (https://rm.coe. 
int/0900001680225783), have been 
continuously calling for stronger pro- 
tections of fundamental rights in the 
Protocol negotiations. However, the 
modifications and improvements were 
not incorporated into the final text. 
Likewise, the draft Council Decision 
leaves too much discretion to Member 
States whether or not to implement 
stronger protections which might lead 
to different protection standards inside 
the EU, including regarding the right to 
an effective remedyandto afair trial. 

4. Preventing Member States from ac- 
ceding to the Protocol is all the more im- 
portant that there are 66 Parties to the 
Convention today, including the United 
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States of America and other countries 
beyond Council of Europe members that 
do not have comprehensive data protec- 
tion laws in place in their countries. Any 
Statemayaccedeto the Convention upon 
invitation in the future. The Protocol al- 
lows transfers of personal data directly 
from private service providers in the EU 
to law enforcement authorities in any 
current or future Partyto the Protocol. 

5. If the Protocol is found to be in- 
compatible with the EU Treaties in the 
coming years, this would inevitably 
create serious legal difficulties for the 
EU internally and for the EU’s interna- 
tional cooperation with third countries. 

6. The Protocol’s "breaks system” is 
severely lacking: the powers of the EU 
independent Data Protection Authori- 
ties (DPAs) to suspend transfers to Sta- 
tes that are suspected ofbeing in breach 
of their data protection obligations are 
severely constrained by the Protocol. 
DPAs cannot act independently, as re- 
quired by EU primary law, in this regard. 

In light of the above, we encourage 
you to support the Rapporteur’s draft 
recommendation. 

We thank you for your consideration 
and invite you to reach out to us should 
you have any questions. 


On behalf ofthe board of DVD, 
Mit freundlichen Grüßen / Best Regards 


Frank Spaeing, Vorsitzender 
Deutsche Vereinigung für Datenschutz e.V. 
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Digitale Identität: Offener Brief zur eIDAS-Reform an 


das Europäische Parlament (1. Februar 2023) 


(Dear President and Vice Presidents MEP 
Metsola, MEP Karas, MEP Picierno, MEP 
Pereira, MEP Kopacz, MEP Regner, MEP 
Wieland, MEP Barley, MEP Charanzo- 
vä, MEP Simecka, MEP Beer, MEP Zile, 
MEP Papadimoulis, MEP Hautala, Dear 
Rapporteur, Opinion Rapporteurs and 
Shadow Rapporteurs MEP Jerkovic, MEP 
Terhes, MEP Arimont, MEP Ansip, MEP 
Terras, MEP Mituta, MEP Peksa, MEP 
Borchia, MEP Roos, MEP Kountoura, 
MEP Bielan, MEP Vandenkendelaere, 
MEP Pelletier, MEP Joron, MEP Maldona- 
do Löpez, MEP Maurel, MEP Benifei, MEP 
Breyer, MEP Melchior, MEP Kaljurand, 
MEP Toom, MEP Vilimsky, MEP Ernst) 


Sehr geehrter Vorsitzender, sehr geehr- 
te stellvertretende Vorsitzende und Ab- 
geordnete, 


die unterzeichnenden Organisatio- 
nen der Zivilgesellschaft (NGOs), Wis- 
senschaftler und Experten sind wegen 
den bevorstehenden Abstimmungen zur 
eIDAS-Verordnung (EU) 2021/0136 
(COD) im Europäischen Parlament be- 
sorgt. Digitale Identitätssysteme haben 
weltweit große Bedenken hinsichtlich 
der Grundrechte aufgeworfen. 

Die Organisationen der Zivilgesell- 
schaft, die dieses Schreiben unterzeich- 
net haben, wollen die Europäische Uni- 
onin die Pflicht nehmen die Grundrech- 
te zu schützen und ein System zu schaf- 
fen, das die sensibelsten Gesundheits-, 
Finanz- und Identitätsdaten nicht an 
Dritte weitergibt. Wenn Europa in dieser 
wichtigen Frage führend sein will, müs- 
sen Sie dies richtig machen. 

Wir erkennen den gut entwickelten 
Datenschutzrahmen und die Rechts- 
grundlage an, die Basis der aktuellen 
Reform der digitalen Identität in Europa 
sind. Diese sind notwendige, aber nicht 
hinreichende Voraussetzungen für ein 
System, das sich als zentrale, allgegen- 
wärtige Plattform eignet und von dem 
künftig der Zugang zu E-Government, 
Handel, Bildung, sozialen Diensten und 
dem Arbeitsmarkt abhängen kann. 
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Es ist von entscheidender Bedeutung, 
dass potenziell Nutzende eine echte 
Wahl haben, ob sie dieses System ver- 
wenden oder nicht. Daher istesnotwen- 
dig gesetzlich einen starken Diskrimi- 
nierungsschutz für diejenigen Teile der 
Bevölkerung zu verankern, die sich ent- 
scheiden das neue digitale Identitäts- 
system nicht zu nutzen, oder die dies 
nicht nutzen können. Senioren, digital 
weniger versierte Bevölkerungsschich- 
ten und Menschen ohne Smartphone 
dürfen nicht allein durch das Fehlen 
einer digitalen Identität an ihrer gesell- 
schaftlichen Teilhabe gehindert wer- 
den. Entsprechende Schutzmaßnahmen 
müssen sowohl für den öffentlichen als 
auch für den privaten Sektor bestehen. 
So werden nicht nur Grundrechtsver- 
letzungen und die Verstärkung sozia- 
ler Ungerechtigkeiten vermieden; dies 
trägt auch dazu bei das notwendige 
Vertrauen in der Bevölkerung für den 
Erfolg eines Systems zu schaffen, das für 
die meisten Nutzer ein Instrument einer 
echten Wahl darstellt. 

Folglich erwarten wir, dass ein von 
der EU geschaffenes digitales Identi- 
tätssystem den Prinzipien von Privacy 
by Design und by Default folgt. Es sollte 
technisch für die Betreiber des Systems, 
die verbundenen Unternehmen oder 
die Anbieter von Attributen unmöglich 
sein Kenntnis zu erlangen, wie Benut- 
zer das System verwenden. Wenn das 
System große Verbreitung findet, könn- 
te es einen panoptischen Überblick 
über alle Aspekte des täglichen Lebens 
liefern. Nur mit starken technischen 
Schutzmaßnahmen auf Architekturebe- 
ne kann verhindert werden, dass Daten 
über das Benutzerverhalten kopiert und 
missbraucht werden können. Entspre- 
chendes gelang bei dem digitalen EU- 
COVID-Zertifikat (EU) 2021/953 und ein 
solcher Standard muss auch hier einge- 
halten werden. 

Privacy by Design verbietet auch die 
Erstellung einer eindeutigen und dauer- 
haften Kennung, die immer wieder dafür 
genutzt werden kann das Benutzerver- 


halten über Interaktionen mit einzelnen 
Unternehmen oder Regierungsbehör- 
den hinweg zu verfolgen. Die Europäi- 
sche Union wäre blauäugig zu glauben, 
dass eine eindeutige und dauerhafte 
Kennung nicht von Big-Tech-Unterneh- 
men missbraucht würde, um deren Be- 
nutzer zu verfolgen und zu überwachen. 
Ein solches „Super-Cookie” würde nicht 
nur in mehreren Mitgliedstaaten ernst- 
hafte verfassungsrechtliche Bedenken 
hervorrufen, sondern könnte auch den 
Zweck dieser Verordnung, datenschutz- 
freundliche Alternativen zu den domi- 
nierenden Big-Tech-Unternehmen zu 
bieten, zunichte machen. Letztendlich 
wird das System anhand der Robustheit 
und Wirksamkeit seiner technischen 
und rechtlichen Schutzmaßnahmen ge- 
gen die Überwachung und Profilerstel- 
lung von Benutzern beurteilt werden. 
Deswegen muss die eIDAS-Verord- 
nung regeln, welche Unternehmen oder 
staatlichen Stellen (Verwender) die 
Nutzer um welche Informationen bitten 
dürfen. Ein System, das den Zugriff auf 
Identitäts-, Finanz- und Gesundheitsin- 
formationen von Hunderten von Millio- 
nen Menschen ermöglicht, wird immer 
einelukrative Angriffsfläche für bösarti- 
ge Akteure sein. Es muss in jedem Fallin 
jedem Mitgliedsstaat wirksame Rechts- 
schutzmöglichkeiten geben für Verbrau- 
cherschutz- und Betrugsbeschwerden 
im jeweiligen Hoheitsgebiet, unabhän- 
gig davon, wo der Verwender seinen Sitz 
hat. Eine wirklich vertrauenswürdige 
Umgebung kann nur entstehen, wenn 
Verwender von ihrem Niederlassungs- 
mitgliedstaat für ihre Anwendung frei- 
geschaltet werden müssen, bevor ihnen 
erlaubt wird persönliche Informationen 
von Benutzern über das neue System 
anzufordern. Dieser Aspekt wurde wäh- 
rend der französischen Ratspräsident- 
schaft im Rat der Europäischen Union 
thematisiert. Zudem sollten staatlich 
zertifizierte Identifikationsdaten nur 
für Anwendungen verfügbar sein, wenn 
diese auf einer gesetzlichen Know-your- 
Customer-Verpflichtung beruhen. 
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Schließlich möchten wir das IT-Si- 
cherheitsrisiko hervorheben, das durch 
die Verpflichtung zur Unterstützung 
qualifizierter Website-Authentifizie- 
rungszertifikate (QWACs) von Webbrow- 
sern entsteht.i Obwohl dies kein direk- 
tes Problem der digitalen Identität ist, 
untergräbt es die Sicherheitsarchitektur 
des Internets auf Grund fragwürdiger 
kommerzieller Motive von Vertrauens- 
diensteanbietern. Dieser Ansatz hat in 
der Vergangenheit nicht nur dazu beige- 
tragen die Sicherheit nicht zu erhöhen, 
da er den Nutzern verwirrende Informa- 
tionen lieferte, sondern er ermöglicht 
auch die staatliche Überwachung des 
Internetverkehrs in großem Umfangii. 
Letztendlich sind solche Maßnahmen 
der Sicherheit aller Benutzer abträglich 
und gefährden die Akzeptanz der Bevöl- 
kerung für den Vorschlag insgesamt. 

Die diesen Brief unterzeichnenden 
Organisationen glauben, dass ein eu- 
ropäisches System, das Grundrechte 
respektiert, ein globaler Gamechanger 
sein kann. Wir bitten Sie dringend diese 
Punkte bei den bevorstehenden Abstim- 


ICH HABE VOR KURZEM AUF 
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JBE EINEN VERGLEICH BEZÜGLICH 
DER TELEMETRIE-DATENTRANFERS ZWISCHEN WINDOWS 11 UND 
WINDOWS XP GESEHEN. WINDOWS XP HAT SICH NUR MIT DEM 
UPDATE-SERVER VON MICROSOFT VERBUNDEN, WÄHREND 
| WINDOWS 11 UNTER ANDEREM STANDORTDATEN WEITERGIBT UND 
| DATEN AN ZAHLREICHE DRITTANBIETERDIENSTE ÜBERMITTELT - 
AUCH AN MARKTFORSCHUNGSINSTITUTE - WAS NICHT GERADE 
PRIVATSPHÄRENFREUNDLICH IST. 


LEIDER KOMMT AUCH ANDROID NICHT UNGE- 
SCHOREN DAVON. MOZILLA HAT IN EINER 
TUDIE AUFGEDECKT, DASS GOOGLE IN 
SEINEM PLAYSTORE BEI VIELEN APPS FALSCHE 
ODER IRREFÜHRENDE ANGABEN BEZÜGLICH 
DER DATENWELTERGABE AN DRITTE MACHT. 


mungen im Ausschuss für Industrie, 
Forschung und Energie und im Plenum 
sowie bei den bevorstehenden Trilog- 
Verhandlungen zu berücksichtigen. Bit- 
te berücksichtigen Sie in dieser wichti- 
gen Diskussion die Perspektive der Bür- 
gerinnen und Bürger. Für weitere Kon- 
sultationen stehen wir zur Verfügung. 
Zusammenfassend sind dies unsere 
wichtigsten Punkte: 
e Sicherung der freien Wahl über die 
Nutzung des digitalen Identitätssys- 
tems durch Schutzmaßnahmen vor 
Diskriminierung bei Öffentlichen und 
privaten Dienstleistungen 
Verhinderung der Beobachtbarkeit 
des Benutzerverhaltens und aller 
persönlichen Transaktionen, die im 
System von Regierungen, Ausstellern 
und Attributanbietern vorgenommen 
werden 
Sicherstellung von Privacy-by-De- 
sign, indem keine eindeutigen und 
dauerhaften Kennungen festgelegt 
werden 
« Effektive Regulierung von Anwen- 
dungsfällen, Verhinderung übermäßi- 


ger Informationsanfragen, Beschrän- 
kung von staatlich ausgestellten Iden- 
tifizierungsinformationen auf solche, 
die auf einer gesetzlichen Know-your- 
Customer-Verpflichtung beruhen 

« Verhinderung von Bestimmungen, 
welche die Unterstützung qualifizier- 
ter Website-Authentifizierungszertifi- 
kate von Webbrowsern vorschreiben. 


Mit freundlichen Grüßen 
Liste der Unterzeichnenden 


(Der englischsprachige a 
ist im 1. Internet abrutbar unter https:// 


unsere deutsche De (eo wie 
hier nn finden a, unter 
https://www.datenschutzverein.de 

ıt t/uplo / /eIDAS < 

-Brief.pdf und hier finden Sie 
außerdem eine oo le 
onsseite zum mTheng sı/ fe 


ILe/ An 


AUCH MEIN APPLE-RECHNER HAT DAS 
BEDÜRFNIS NACH HAUSE ZU TELEFONIEREN. 
1 ICH HABE MIT LITTLE SNITCH BEOBACHTET, 
DASS ZUM BEISPIEL DAS GAME CENTER IM 


APPLE-SERVER SENDET. DIE „SENDELIZENZ" 
WURDE VON MIR NATÜRLICH UMGEHEND 
DEAKTIVIERT. IOS-GERÄTE SIND ÜBRIGENS 
EBENFALLS BETROFFEN. 


GANZ FREI VOM PRINZIP DES „TEILENS" 
LINUX AUCH NICHT - WENN MAN CHROME, 
GMAIL, ZOOM, TEAMS, SLACK, FACEBOOK, 
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Ü] HINTERGRUND REGELMÄSSIG DATEN AN DEN 


Datenschutznachrichten 


Datenschutznachrichten aus Deutschland 


Bund 


Kelber kritisiert Verknüp- 
fung von Steuer-ID mit 
IBAN 


Laut Jahressteuergesetz soll die 
Steuer-ID mit Kontoverbindungsdaten 
zusammengeführt werden, um z.B. das 
Klimageld zahlen zu können. Es geht 
um die Frage, wie der Staat seinen Bür- 
gern am einfachsten Geld wie die mit 
der Gas-, Wärme- und Strompreisbrem- 
se verknüpften Ausgleichszahlungen 
zukommen lassen kann. Der Gesetzge- 
ber setzt dafür unter anderem darauf, 
dass das Bundeszentralamt für Steuern 
(BZSt) die umstrittene einheitliche 
Steuer-Identifikationsnummer bis 2024 
mit der internationalen Kontonummer 
(IBAN) sowie gegebenenfalls dem BIC 
verknüpfen soll. 

Der Bund der Steuerzahler macht 
Druck, das Vorhaben schleunigst in 
die Tat umzusetzen, so Daniela Karbe- 
Geßler, die bei der Interessenvertretung 
für Steuerpolitik zuständig ist: „Dies ist 
notwendig, um in Zukunft staatliche 
Leistungen, vergleichbar mit der Ener- 
giepreispauschale im September und 
Dezember des vergangenen Jahres, an 
die Bürger auszahlen zu können.” Ohne 
diese Möglichkeit müssten andere Stel- 
len den Ausgleich übernehmen, so wie 
2022 die Rentenversicherung oder die 
Arbeitgeber. Die Lobbyorganisation 
moniert, dass das versprochene „Kli- 
mageld” bei vielen Empfangsberechtig- 
ten noch nicht aufdem Konto angekom- 
men sei. 

Der vom Bundestag Anfang Dezem- 
ber mit dem Jahressteuergesetz 2022 
beschlossene Ansatz stößt auf Kritik 
bei Datenschützern. Der Bundesdaten- 
schutzbeauftragte Ulrich Kelber appel- 
lierte während des Gesetzgebungsver- 
fahrens vergeblich an die Abgeordneten 
die Klausel zu überarbeiten und „ver- 
fassungsgemäße, mildere Mittel wie die 
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Nutzung bereichsspezifischer Lösun- 
gen” oder den Rückgriff auf bereits vor- 
handene Datenbestände vorzusehen. 
Das Ziel, staatliche Direktzahlungen 
möglichst unkompliziert zu gestalten, 
sehe auch er zwar als „gesellschaftlich 
überragend wichtig an“. Leider habe 
die Bundesregierung mit ihrem Entwurf 
dafür aber einen „datenschutzrechtlich 
nicht optimalen Weg gewählt”. 

Kelber monierte in einem Schreiben 
an den Finanzausschuss des Bundes- 
tags, dass bereits mit dem Registermo- 
dernisierungsgesetz die Steuer-ID zu 
einer Identifikations- und Bürgernum- 
mer für allgemeine Zwecke außerhalb 
der Finanzverwaltung geworden sei. 
Schon dies komme der Einführung eines 
bereichsübergreifenden Personenkenn- 
zeichens gleich, was das Bilden von 
Profilen „übermäßig“ erleichtere und 
so „den besonders geschützten geisti- 
gen Innenraum“ der Bürger gefährde. Es 
gebe keine hinreichenden Hürden, um 
Missbrauch effektiv zu verhindern. Die 
Weiterentwicklung der Steuer-ID zu ei- 
ner nationalen Personen-Kennziffer war 
zwei Jahre zuvor von Datenschützern, 
Wissenschaftlern und Bürgerrechtlern 
kritisiert worden. 

Gemäß Kelber wird diese an sich 
schon verfassungsrechtlich kritische 
Situation mit der Änderung im Jahres- 
steuergesetz verschärft. Die dauerhafte 
Zusammenführung der Steuer-ID sowie 
der Identifikationsdaten gemäß der 
überarbeiteten Abgabenverordnung 
mit der zuletzt verwendeten IBAN beim 
BZSt „erhöht deren Erfassbarkeit durch 
eine neugewonnene Verlässlichkeit 
bei der Zuordnung und Weiterverar- 
beitung, dies gepaart mit einer stark 
herabgesenkten Hemmschwelle zur 
Weiternutzung“. Nach den Maßstäben 
der ständigen Rechtsprechung des Bun- 
desverfassungsgerichts seit dem Volks- 
zählungsurteil greife dies „massiv in 
das grundrechtlich abgesicherte Recht 
auf informationelle Selbstbestimmung 
ein“. Die Grünen hatten 2021 noch mo- 


niert, dass die Frage der Verfassungs- 
konformität aufgrund der Steuer-ID wie 
ein Damoklesschwert über der Register- 
umstellung hänge. 

Derweil ist nicht absehbar, wann die 
Verknüpfung von IBAN und Steuer-ID 
wirklich kommt. Finanzminister Chris- 
tian Lindner prognostizierte schon 
im Sommer 2022, das Direktauszah- 
lungsprojekt könne „achtzehn Monate” 
brauchen. Ein Ministeriumssprecher 
meinte, es müsse noch viel Technisches 
und Administratives geklärt werden. 
Wirtschaftsminister Robert Habeck 
schätzt, dass es erst in der nächsten Le- 
gislaturperiode, die regulär im Herbst 
2025 beginnt, Direktzahlungen geben 
werde. Die Digitalisierung der Verwal- 
tung erfolgt weiterhin im Schnecken- 
tempo (Krempl, Datenschutz: Kritik 
an „Personenkennziffer” aus Konto- 
nummer und Steuer-ID, www.heise.de 
07.01.2023, Kurzlink: https://heise. 
de/-7451758, Prantl, 12345678910, SZ 
14./15.01.2023, 5; Schloemann, Auf 
der Suche nach der Bürgernummer, SZ 
31.01.2023, 5). 


Bund 


Erweiterter Zugriff auf 
SISIII 


Am 01.12.2022 hat der Bundestag mit 
den Stimmen der Fraktionen der Ampel- 
Koalition und der CDU/CSU einen Ge- 
setzentwurf verabschiedet, der Details 
zur Durchführung von drei EU-Verord- 
nungen von 2018 über die Einrichtung, 
den Betrieb und die Nutzung des Schen- 
gener Informationssystems der dritten 
Generation (SIS II) regelt. Die Links- 
fraktion stimmte gegen den Entwurf. 
Mit dem Gesetz sollen in Deutschland 
über 2.000 zusätzliche Behörden direkt 
an das europäische Sicherheits- und 
Fahndungssystem angeschlossen wer- 
den, das Ende 2021 knapp 90 Millionen 
Datensätze enthielt. 
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Bisher hatten ausschließlich berech- 
tigte Mitarbeiter von Ämtern der Mit- 
gliedstaaten aus den Bereichen Straf- 
verfolgung und Justiz wie etwa Grenz- 
schutz, Polizei, Zoll und Visa Zugriff 
auf die umfangreiche Datenbank. Dazu 
kamen einzelne Zulassungsstellen und 
EU-Behörden wie Europol. Nun kom- 
men in Deutschland u.a. die Auslän- 
derbehörden, das Auswärtige Amt, das 
Bundesamt für Auswärtige Angelegen- 
heiten, die Auslandsvertretungen, das 
Bundesamt für Migration und Flücht- 
linge (BAMF), die Wasserstraßen- und 
Schifffahrtsämter sowie das Luftfahrt- 
Bundesamt dazu. In den Verbund in- 
tegriert werden zudem alle für die Kfz- 
Zulassung zuständigen Ämter, die Waf- 
fenbehörden, die Staatsanwaltschaften 
sowie die obersten Landesbehörden im 
Rahmen ihrer Zuständigkeiten nach 
dem Aufenthaltsgesetz. 

Durch eine Änderung des Bundes- 
verfassungsschutzgesetzes erhalten 
die deutschen Geheimdienste - das 
Bundesamt für Verfassungsschutz als 
Inlandsgeheimdienst, der Bundes- 
nachrichtendienst (BND) und der Mi- 
litärische Abschirmdienst (MAD) - die 
Befugnis über das Bundeskriminalamt 
(BKA) Ausschreibungen zur verdeckten 
Fahndung im SIS vornehmen zu lassen. 
Dies kann Personen wie Flüchtlinge 
oder Aktivisten, bargeldlose Zahlungs- 
mittel oder andere Sachen betreffen. Bei 
einer solchen verdeckten Fahndung er- 
fährt die ausschreibende Behörde etwa 
bei einer polizeilichen Verkehrskontrol- 
le oder einem Grenzübertritt, wohin ein 
betroffenes Individuum wann und mit 
wem gereist ist. Ermittler können die 
entsprechenden Daten speichern und 
vor einem späteren möglichen Zugriff 
zunächst zu umfassenden Bewegungs- 
sowie Kontaktprofilen verdichten. 

Von ihrer Kompetenz, Verdächti- 
ge über das SIS grenzüberschreitend 
heimlich zu überwachen, machten eu- 
ropäische Polizeibehörden schon in der 
Vergangenheit verstärkt Gebrauch. Das 
Blackbox-Verfahren dürfte mit der offi- 
ziellen Erlaubnis für Geheimdienste für 
solche Fahndungen nun noch viel öfter 
verwendet werden. Clara Bünger, Spre- 
cherin für Flucht- und Rechtspolitik der 
Linksfraktion im Bundestag, meinte, 
die Befugnis verstoße gegen das ver- 
fassungsrechtliche Trennungsgebot 
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zwischen Polizei und Geheimdiensten. 
Dadurch erhielten die Agenten nämlich 
„unmittelbar Zugriff auf die Befugnis 
der Polizei zur Personenkontrolle“. 

Im Hintergrund verknüpft die EU pa- 
rallel seit 2019 sämtliche bestehenden 
und sich im Aufbau befindlichen EU-Da- 
tenbanken in den Bereichen Sicherheit, 
Grenzmanagement und Migrationssteu- 
erung. Dazu kommt ein übergeordneter 
„Speicher für Identitätsdaten”, einge- 
schränkt zunächst auf Angehörige von 
Drittstaaten. Unter dem Aufhänger „In- 
teroperabilität” entsteht de facto eine 
umfassende Biometrie-Datenbank. 

Der Bundesdatenschutzbeauftragte 
Ulrich Kelber äußerte sich kritisch zu 
dem Vorhaben: „Die Erweiterung einer 
Datenbank, sei es durch den Anschluss 
neuer Stellen, die Verarbeitung weiterer 
Datenkategorien oder die Verknüpfung 
mit anderen Systemen, birgt grundsätz- 
lich ein erhöhtes Risiko für Fehler bei 
der Datenverarbeitung.” Dies schließe 
missbräuchliche Nutzungen ein. Manu- 
el Höferlin, innenpolitischer Sprecher 
der FDP-Fraktion, begrüßte, dass mit 
der neuen BKA-Zentralstellenfunktion 
für das SIS „schnelle europaweite Fahn- 
dungen” ermöglicht würden. Dabei wer- 
de der nationale Teil der Datenbank vom 
deutschen polizeilichen Informations- 
verbund Inpol technisch getrennt. Um 
die geplante und nötige Inbetriebnah- 
me des SIS III zu gewährleisten, habe 
das Bundesinnenministerium bereits 
in den vergangenen Jahren die techni- 
schen Umsetzungsvoraussetzungen ge- 
schaffen. Die Entscheidungskompetenz 
rund um die nun erfolgten Gesetzesan- 
passungen hätten aber beim Parlament 
gelegen (Krempl, 2000 weitere Behör- 
den erhalten Zugriff aufs Schengen- 
Informationssystem, www.heise.de 
02.12.2022, Kurzlink: https://heise. 
de/-7365362). 


Bund 


EES und ETIAS werden 
national umgesetzt 


Die Bundesregierung hat dem Bun- 
destag einen Gesetzesentwurf für das 
europäische Ein- und Ausreisesystem 
(„Entry/Exit-System” - EES) zur Bio- 
metrie-Grenzkontrolle sowie für das 


Europäische Reisegenehmigungssystem 
(ETIAS) vorgelegt. Sie möchte damit si- 
cherstellen, dass die EU-Verordnungen 
zu EES und ETIAS in Deutschland rei- 
bungslos angewandt werden können. 
Die direkt in allen Mitgliedstaaten gel- 
tenden EU-Vorgaben müssen durch 
nationale Rechtsnormen wie z.B. das 
Aufenthaltsgesetz ergänzt werden. 
Dazu gehören auch die Festlegungen 
deriinnerdeutschen Zuständigkeiten für 
vorgesehene Aufgaben und technische 
Vorgaben. 

Im EES mit biometrischer Grenzkon- 
trolle müssen sich Bürger aus Dritt- 
staaten künftig im Rahmen des „Smart 
Borders”-Programms mit vier Fingerab- 
drücken und biometrischem Gesichts- 
bild in der EU registrieren lassen. Die 
Datenbank soll „intelligente Grenzkon- 
trollen“ nach US-Vorbild ermöglichen, 
die zulässige Dauer eines Kurzaufent- 
halts berechnen und bei Überziehung 
automatisch die nationalen Sicherheits- 
behörden verständigen. 

Visumsfrei in die Gemeinschaft ein- 
reisende Personen sollen mithilfe von 
ETIAS vorab durchleuchtet werden. Sie 
müssen über einen Online-Antrag den 
Behörden persönliche Informationen 
u.a. zu Identität, Reisedokument, Auf- 
enthaltsort, Kontaktmöglichkeiten, in- 
fektiösen Krankheiten und Ausbildung 
mitteilen. Die Daten sollen dann auto- 
matisch mit Daten aus zahlreichen an- 
deren europäischen IT-Systemen, einer 
virtuellen Biometrie-Superdatenbank 
sowie Registern von Interpol abgegli- 
chen und gespeichert werden. Pate 
gestanden hat das 2007 von den USA 
entwickelte Einreisegenehmigungssys- 
tem ESTA. Ziel ist festzustellen, ob eine 
Einreise in den Schengenraum grund- 
sätzlich berechtigt ist, und ob damit ein 
Risiko für Sicherheit, geregelte Migra- 
tion oder Gesundheit verbunden sein 
könnte. 

Für die EES-Übermittlungsvorgänge 
plant die Regierung ein automatisier- 
tes Verfahren, für dessen technische 
Umsetzung sie anderthalb Jahre ver- 
anschlagt. Bis dahin sollen Meldungen 
zwischen rund 224 Auslandsvertretun- 
gen und weiteren Behörden gemäß der 
Gesetzesbegründung „vermutlich als 
PDF-Datei per E-Mail” erfolgen. Eine 
Pflicht zur Verschlüsselung der erwar- 
teten rund 37.500 Notizen wird nicht 
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angesprochen. Das Sicherheits- und 
Qualitätsniveau vor allem des EES soll 
das Bundesamt für Sicherheit in der 
Informationstechnik (BSI) überprü- 
fen. Dazu kann es dem Plan nach zur 
„Unterstützung bei der Bewältigung 
von Sicherheitsvorfällen“ auf Anfra- 
ge Einzeldaten von der Bundespolizei 
und dem Bundesverwaltungsamt er- 
halten. Insbesondere bei elektroni- 
schen Fälschungen von Reisepässen 
seien nur so forensische Analysen des 
Chips für das BSI möglich. Diese wie- 
derum hülfen technische Sperrlisten 
zu aktualisieren oder die Richtlinie 
zur technischen Dokumentenprüfung 
fortzuschreiben. Die Gesetzesvorlage 
rechnet auch mit Sicherheitsproble- 
men durch neue Angriffsvektoren wie 
elastische 3D-Drucker-Masken und 
3D-Schminken oder lokale Fehlkonfi- 
gurationen der Biometrie-Algorithmen 
(„Schwellwertfehler”). Eine „Presenta- 
tion Attack Detection” soll den Einsatz 
von Spezialmasken verhindern. Solche 
Gegenmaßnahmen können gemäß dem 
Entwurf nur auf Basis der im Einzelfall 
zu übermittelnden Daten optimiert 
werden. Dies gelte auch für den Bereich 
von Vorkommnissen durch „Morphing, 
also dem Fusionieren von mehreren 
Bildern zu einem einzigen zur Nutzung 
eines Passes durch mehrere Personen” 
(Krempl, EU-Datenbanken: Bund will 
biometrische Grenzüberwachung aus- 
weiten, wwwr.heise.de 24.01.2023, 
Kurzlink: https://heise.de/-7469954). 


Bundesweit 


Verhaltensregeln für Auf- 
tragsverarbeiter genehmigt 


Auf der Datenschutz-Fachkonferenz 
DAFTA in Köln wurden am 17.11.2022 
die „Trusted Data Processors” vorge- 
stellt, mit denen sich Auftragsverarbei- 
ter über frisch genehmigte Verhaltens- 
regeln (Codes of Conduct) zertifizieren 
können. Damit soll die Anwendung der 
Datenschutz-Grundverordnung (DS- 
GVO) in der Praxis insbesondere für klei- 
ne und mittelständische Unternehmen 
vereinfacht werden. 

Niels Lepperhoff, Geschäftsführer der 
DSZ GmbH (DSZ), berichtete, dass er 
zusammen mit dem Berufsverband der 
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Datenschutzbeauftragten Deutschlands 
(BvD) e.V. und der Gesellschaft für Da- 
tenschutz und Datensicherheit e.V. 
(GDD) insgesamt sechs Jahre an dem 
äußerst komplexen und aufwändigen 
Projekt gearbeitet habe, bevor die baden- 
württembergische Aufsichtsbehörde das 
Verfahren offiziell genehmigte. Derzeit 
seien auch andere Codes of Conduct in 
Arbeit, die unter anderem die korrekte 
Pseudonymisierung und Anonymisie- 
rung von Daten garantieren sollen. 

Die vorgestellte Selbstverpflichtung 
soll den bisher notwendigen Aufwand 
wesentlich reduzieren, mit dem Auf- 
traggeber sicherstellen, dass ihre Auf- 
tragnehmer die datenschutzrechtlichen 
Regelungen komplett erfüllen. Lepper- 
hoff erläuterte, dass Dienstleister im- 
mer wieder Fragenkataloge von Kunden 
mit zum Teil mehreren hundert Fragen 
beantworten müssten, was in Zukunft 
massiv vereinfacht werden soll. 

Anders als bei anderen Industrie- 
standards - wie zum Beispiel dem 
Transparency and Consent Framework 
(TCF) - wurde hier von Beginn an Wert 
darauf gelegt, dass die Einhaltung der 
Regeln regelmäßig überprüft wird. Als 
Überwachungsstelle fungiert das Bon- 
ner Unternehmen DSZ. Wer gegen die 
Verhaltensregel verstößt, dem kann der 
Status als „Trusted Data Processor” wie- 
der entzogen werden. Bußgelder kön- 
nen aber weiterhin nur die amtlichen 
Aufsichtsbehörden verhängen. Wer 
kein offizielles Siegel will, soll die Maß- 
gaben auf der Webseite https://www. 
verhaltensregel.eu/ finden. 

Der damalige baden-württembergi- 
sche Datenschutzbeauftragte Stefan 
Brink meinte: „Selbstregulierung ist 
eine hervorragende Möglichkeit Da- 
tenverarbeitung maßgenau auf die Be- 
dürfnisse von Branchen abzustimmen 
- die DSGVO gibt diese Möglichkeit, die 
wir jetzt umsetzen.” Dieser Einstieg in 
die Selbstregulierung geht einher mit 
einer veränderten Aufgabenstellung 
der betrieblichen und behördlichen 
Datenschutzbeauftragten: Sie sollen 
künftig mehr als Datenmanager und 
nicht mehr als Bremser von Datenverar- 
beitungen fungieren (Kleinz, „Trusted 
Data Processor” - Einstieg in die DS- 
GVO-Selbstrequlierung, www.heise.de 
18.11.2022, Kurzlink: https://heise. 
de/-7345987). 


Bundesweit 


Durchsuchungen bei 
Google-Fonts-Abmahnern 


Wegen des Verdachts auf Abmahn- 
betrug und Erpressungsversuch in 
mindestens 2.418 Fällen wurden in ei- 
nem Verfahren gegen den 53-jährigen 
Anwalt Lenard aus Berlin und dessen 
41-jährigen Mandanten Ismail - einem 
Vertreter einer ominösen „Interessen- 
gemeinschaft Datenschutz“ - in Berlin, 
Hannover, Ratzeburg und Baden-Baden 
Durchsuchungsbeschlüsse und zwei 
Arrestbeschlüsse mit einer Gesamt- 
summe von 346.000 Euro vollstreckt. 
Im Nachgang der Durchsuchungen am 
21.12.2022 werden laut der Staatsan- 
waltschaft in Berlin Unterlagen und Da- 
tenträger ausgewertet, die Aufschluss 
„über die Anzahl, Auswahlkriterien und 
Identität, die tatsächlichen Umsätze 
und die genaue Vorgehensweise” geben 
sollen. 

Den Beschuldigten wird vorgeworfen, 
Privatpersonen und Kleingewerbetrei- 
benden, die auf ihren Websites Google 
Fonts eingesetzt haben, mit einem An- 
waltsschreiben abgemahnt zu haben. 
Zugleich wurde den Website-Betreibern 
angeboten ein Zivilverfahren gegen das 
Zahlen einer Vergleichssumme in Höhe 
von 170 Euro vermeiden zu können. 
Die Beschuldigten wussten allerdings, 
dass es keinen Anlass für eine derarti- 
ge Vergleichssumme gegeben hat. Die 
Besuche der Websites wurden proto- 
kolliert, um die Betreiber abmahnen 
zu können. Doch der Anwalt und sein 
Mandat sollen, so der staatsanwaltliche 
Vorwurf, sie getäuscht haben, indem sie 
behaupteten, eine Person habe die Web- 
sites besucht. Da keine natürliche Per- 
son auf der Webseite gewesen sei, läge 
auch keine Verletzung eines Persönlich- 
keitsrechts vor. Zudem hätten sie diese 
Internetseiten bewusst besucht und da- 
durch faktisch der Datenübermittlung 
zugestimmt - womit es auch keinen 
Datenschutzverstoß gebe. In einigen 
Fällen seien auch gar keine Daten in die 
USA übermittelt worden. 

Daher hätten die Forderungen ge- 
richtlich nicht durchgesetzt werden 
können. Ca. 2.000 Personen hatten die 
Vergleichssumme gezahlt - zudem lie- 
gen 420 Anzeigen von Abgemahnten 
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vor, die der Zahlungsaufforderung nicht 
nachgekommen waren. 

Mit einer selbst programmierten Soft- 
ware hatten die Beschuldigten die Web- 
sites ausgemacht, die Google Fonts nut- 
zen und Websitebesuche anschließend 
getrackt und protokolliert. Die Besuche 
wurden dann als „Grundlage für die Be- 
hauptung der datenschutzrechtlichen 
Verstöße und die Geltendmachung von 
Schmerzensgeldansprüchen” genutzt 
und es wurden seit Sommer 2022 Ab- 
mahnungen verschickt. Die Beschuldig- 
ten hatten in vielen Fällen vorgegeben, 
dass eine Person auf der Website war, 
obwohl tatsächlich nur ein automati- 
sierter Zugriff erfolgte. Außerdem hät- 
ten Personen vor einem Besuch der Sei- 
te einer Datenweitergabe zugestimmt, 
die Abmahnung erfolgte allerdings den- 
noch. Wirtschaftsverbände, Internet- 
kenner und Juristen, u.a. auch die DVD, 
warnten vor der Abmahnmasche. Die 
Abmahner hatten die DVD sowie andere 
Organisationen zum Beleg ihrer Seriosi- 
tät missbraucht, indem sie versuchten 
sich als Spender der gemeinnützigen 
Einrichtungen zu präsentieren (DANA 
4/2022, 249). 

MIt dem Fonts-Dienst stellt Google 
mehr als 1.400 Schriftarten zur kosten- 
losen Nutzung auf Webseiten zur Verfü- 
gung, ohne dass die Fonts auf eigenen 
Servern bereitgehalten werden müssen. 
Allerdings lädt der Besucher der Website 
die Fonts direkt von den Google-Servern 
und übermittelt dabei die IP-Adresse an 
Google -in der Regel ohne Kenntnis und 
Einwilligung der Webseitenbesucher. 
Das Landgericht (LG) München hatte 
am 20.01.2022 entschieden, dass die 
Weitergabe der Daten einen Verstoß ge- 
gen die Datenschutz-Grundverordnung 
(DSGVO) darstelle (Az. 3 0 17493/20). 
Dadurch habe der Kläger in diesem Fall 
einen Kontrollverlust über seine perso- 
nenbezogenen Daten erlitten. Das Ge- 
richt sah eine immaterielle Verletzung 
des Klägers und gestand ihm Schaden- 
ersatz zu. Denn Google sei ein Unter- 
nehmen, das „bekanntermaßen Daten 
über seine Nutzer sammelt”, befand das 
Gericht. Die Folge der rechtswidrigen 
Datenweitergabe sei ein „individuelles 
Unwohlsein”, das so erheblich sei, dass 
es einen Schadenersatzanspruch recht- 
fertige. Das Urteil hatte sich das Duo 
Lenard und Ismail zunutze gemacht. 
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Fachleute kritisieren am LG-Urteil, 
das davon ausgeht, dass die Übermitt- 
lung der Daten in die USA „unstreitig” 
sei, es setze sich technisch wie rechtlich 
nicht hinreichend mit der Funktions- 
weise von Google Fonts auseinander. 
Es sollte in jedem Fall klar sein, dass 
auf entsprechende Forderungen nicht 
gezahlt werden sollte. Dringend zu 
empfehlen ist als Webseiten-Betreiber 
Google Fonts selbst zu hosten (General- 
staatsanwaltschaft Berlin, Gemeinsame 
Pressemeldung: Durchsuchungen nach 
Abmahnwelle wegen „Google Fonts”- 
Nutzung, 21.12.2022; Koch, Google- 
Fonts: Durchsuchungen wegen Abmah- 
nungen vermeintlicher Datenschützer, 
www.heise.de 21.12.2022, Kurzlink: 
https://heise.de/-7440620; Fröhlich, 
Betrugsmasche „Google-Fonts”: Razzia 
bei Berliner Abmahnanwalt Kilian Len- 
ard, www.tagesspiegel.de 21.12.2022). 


Baden-Württemberg/Bayern 


Behörden untätig bei infor- 
mationellem Tesla-Angriff? 


Die DANA-Redaktion hat folgende 
Schilderung erhalten, die von Daten- 
schutzinteresse ist, weil sie einerseits 
Hinweise darauf gibt, wie Tesla-Autos 
missbraucht werden können, zum an- 
deren darauf, dass hier eine offensicht- 
liche Persönlichkeitsverletzung durch 
Private durch behördliche Untätigkeit 
ignoriert wird: 

„Mit dem Vermieter befand ich mich 
seit 2019 wegen dessen Eigenbedarfs- 
kündigung des von meiner Familie und 
mir bewohnten Wohnobjekts in einer 
juristischen Auseinandersetzung. Er- 
kennbar ab [...] 2021 stand der Vermie- 
ter häufig in unmittelbarer Nähe zum 
Eingang bzw. an der Zufahrt zur zugehö- 
rigen Garage mit seinem geparkten Tes- 
la. Aus diesem Fahrzeug heraus wurden 
wir von ihm manchmal erkennbar mit 
dem Handy gefilmt. Weitaus öfter war 
das Fahrzeug jedoch dort abgestellt, 
ohne dass ein Fenster geöffnet war ge- 
schweige denn erkennbar sich Personen 
darin aufhielten. [...] 

Diese ständigen Überwachungen 
nahmen [...] in steigender Intensität 
zu. Dies gipfelte [...] darin, dass der 
Vermieter - nachdem er in seinem Tes- 


la sitzend - [...] stieg er aus dem Tesla 
aus, lief auf mich zu und blieb dann 
an der Fahrerseite stehen, wobei er die 
ganze Zeit mit dem Handy mich filmte. 
Gleichzeitig brüllte er herum, dass ich/ 
wir auch sonst die ganze Zeit gefilmt 
würden. [...] 

Nachdem ich den Bericht im Fern- 
sehen (über den Wächter-Modus bei 
Tesla-Fahrzeugen, die Redaktion) ge- 
sehen hatte, war mir klar, was er damit 
gemeint hatte: Nämlich den Einsatz der 
Tesla-Kameras, um meine Familie und 
mich, äußerlich nicht erkennbar, stän- 
dig zu filmen. 

Aufgrund des Ereignisses am |[...] 
hatte ich bei der zuständigen Staats- 
anwaltschaft Anzeige u.a. wegen Nach- 
stellung, Nötigung und Verletzung des 
höchstpersönlichen Lebensbereichs 
und von Persönlichkeitsrechten durch 
Bildaufnahmen erstattet. 

In dem eingangs erwähnten Fernseh- 
bericht war erwähnt worden, dass das 
Bayrische Landesamt für Datenschutz- 
aufsicht federführend für die bundes- 
deutschen Datenschutzaufsichtsbehör- 
den bei der Überprüfung der Einhaltung 
der hiesigen datenschutzrechtlichen 
Regelungen bei der Datenverarbeitung 
bei Tesla-Fahrzeugen zuständig wäre. 

Aus diesem Grund wandte ich mich - 
obwohl in Baden-Württemberg wohnend 
- erstmals im August 2021 an das Bayri- 
sche Landesamt für Datenschutzaufsicht 
und legte den gesamten Sachverhalt zur 
Prüfung vor. Parallel hatte ich auch ei- 
nem Jahresbericht dieser Behörde ent- 
nommen, dass sie Präzedenz-Fälle suche, 
mit deren Hilfe sie die missbräuchliche 
Verwendung der Tesla-Kameras konkret 
überprüfen und nachweisen könne. Ich 
ging daher davon aus, dass der von mir 
geschilderte Sachverhalt genau dieser 
Präzedenzfall sein könnte. 

In der Zwischenzeit ist mehr als ein 
Jahr vergangen und außer einer au- 
tomatisierten Eingangsbestätigung 
konnte ich bis heute keine Reaktion von 
Seiten des Bayrischen Landesamts für 
Datenschutzaufsicht verzeichnen. Meh- 
rere Nachfragen per Telefon, per E-Mail 
und per Fax blieben unbeantwortet. Zu- 
letzt habe ich mich per Einschreiben an 
den Präsidenten dieses Amts gewendet: 
Wiederum keine Reaktion. 

Mittlerweile habe ich auch [...] eine 
datenschutzrechtliche Beschwerde 
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beim Landesdatenschutzbeauftragten 
für Baden-Württemberg eingereicht: 
Ebenfalls keine Reaktion. 

Mittlerweile hat auch die Staatsan- 
waltschaft (StA Mannheim und GStA 
Karlsruhe) das bzw. die Verfahren ein- 
fach eingestellt. Meine Hinweise auf 
die Ausstattung von Tesla-Fahrzeugen 
mit Kameras zur pausenlosen Rundum- 
überwachung der Fahrzeugumgebung 
wurde überhaupt nicht zur Kenntnis 
genommen.” 

Hinweis: Weitere Informationen zum 
Thema finden sich in DANA 3/2022, 
180f., 185, DANA 2/2021, 116,130, 131, 
Weichert, DANA 4/2020, 227 ff., sowie 
„Datenverarbeitung und Datenschutz 
bei Tesla-Fahrzeugen” unter https:// 
www.netzwerk-datenschutzexpertise. 
de/sites/default/files/gut_2020tesla. 
pdf). 


Berlin 


Messerstecher offenbar 
durch Tesla-Aufnahmen 
identifiziert 


Am 31.10.2022 passierte ein schwerer 
Unfall auf der Bundesallee in Berlin-Wil- 
mersdorf, beidem ein Betonmischer eine 
44-jährige Fahrradfahrerin überrollte 
und einklemmte. Die Radfahrerin wurde 
später in einer Klinik intensivmedizi- 
nisch behandelt und musste für hirntot 
erklärt werden. Der Unfall verursachte 
große öffentliche Aufmerksamkeit, weil 
Klima-Aktivisten der „Letzten Genera- 
tion“ die A100 blockiert hatten und da- 
durch ein Spezialfahrzeug der Feuerwehr 
zum Anheben schwerer Lasten im Stau 
stecken blieb. Die Radfahrerin konnte so 
auf anderem Weg nur verspätet aus ihrer 
Verklemmung befreit werden. 

In diesem Zusammenhang gab es eine 
Messerattacke auf den Lkw-Fahrer. Als 
der nach dem Unfall ausstieg, um nach 
der Frau zu sehen, wurde er von einem 
Mann attackiert und niedergestochen, 
wobei der 64-Jährige schwere Verlet- 
zungen erlitt. Zwei Tage später identifi- 
zierte die Polizei den mutmaßlichen Tä- 
ter der Messerattacke. Es soll sich dabei 
um einen 48-jährigen Obdachlosen han- 
deln, der festgenommen und einem Un- 
tersuchungsrichter vorgeführt wurde. 
Nach Angaben der Berliner Polizei gibt 
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es Hinweise auf eine psychische Erkran- 
kung bei dem Mann. Für die Ermittlung 
des mutmaßlichen Täters hatten Poli- 
zeibeamte die Aufnahmen eines zufällig 
vorbeifahrenden Teslas herangezogen. 
Die Autokamera filmte demnach die Tat 
und half damit bei der Identifizierung 
des Verdächtigen (Unfall auf der Bun- 
desallee: Radfahrerin ist hirntot, www. 
morgenpost.de 03.11.2022). 


Niedersachsen 


Beschwerdenbelastung für 
Datenschutzaufsicht auf 
hohem Niveau 


Die Zahl der Beschwerden zu mögli- 
chen Datenschutzverletzungen ist im 
Jahr 2022 in Niedersachsen gegenüber 
dem Vorjahrleicht gesunken. Insgesamt 
2.058 Beschwerden von betroffenen 
Bürgerinnen und Bürgern gingen 2022 
bei der Landesbeauftragten für den 
Datenschutz (LfD), Barbara Thiel, ein. 
Das waren knapp 500 weniger als noch 
ein Jahr zuvor. 2019 gingen den Anga- 
ben zufolge insgesamt knapp 1.900 Be- 
schwerden ein, 2018 noch rund 1.000. 
Häufige Gründe, weshalb sich Bürger an 
die Landesbeauftragte wandten, waren 
den Angaben zufolge Videoüberwa- 
chung des öffentlichen Raums, die Ver- 
öffentlichung von personenbezogenen 
Daten auf Social Media oder die Offen- 
legung von Daten an unbefugte Dritte. 

Auch die Meldungen mutmaßlicher 
Datenschutzverletzungen gemäß Art. 33 
DSGVO von Unternehmen oder Behör- 
den gingen demnach ebenfalls zurück. 
2022 waren es 1.149 Meldungen, ein 
Jahr zuvor noch 1.673. Als Ursache für 
den Rückgang in diesem Bereich nannte 
der Sprecher, dass Beschwerden zu Si- 
cherheitslücken bei einer Software im 
vergangenen Jahr keine Rolle mehr ge- 
spielt hätten - 2021 waren dazu knapp 
500 Meldungen eingegangen. Lässt man 
dies außen vor, ist die Zahl der übrigen 
Meldungen etwa auf demselben Niveau 
geblieben. Wer eine Beschwerde bei der 
Stelle einreichen möchte, kann dies 
über ein Online-Formular oder alterna- 
tiv per Post, E-Mail oder Fax tun. Der 
Grund für die Beschwerde soll dabei 
so detailliert wie möglich beschrieben 
werden (DSGVO: Weniger Beschwerden 


über Datenschutzverletzungen in Nie- 
dersachsen, www.heise.de 14.01.2023, 
Kurzlink: https://heise.de/-7459290). 


Nordrhein-Westfalen 


Fortgesetzter Streit um 
Krankenhaus-Altakten 


Die Verantwortlichen im ostwestfäli- 
schen Büren bei Paderborn beschäftigt 
schon seit Jahren eine gewaltige Menge 
von Patientenakten, die in einem ver- 
fallenden Gebäude einer Klinik, die vor 
mehr als einem Jahrzehnt aufgegeben 
wurde, abgelegt sind. Die Aktenberge 
sind inzwischen in einen „Sarkophag” 
aus Stahlgittern und Mauern einge- 
schlossen. Das Verwaltungsgericht 
(VG) Minden soll nun entscheiden, 
wer für die Kosten der Sicherung ver- 
antwortlich ist. Der Bürgermeister der 
21.000-Einwohner-Stadt, Burkhard 
Schwuchow, hofft, dass mit dem Verfah- 
ren Bewegung in den Fall kommt. Der 
habe sich als „unendliche Geschichte” 
herausgestellt, die nicht zu Ende gehen 
wolle. Die Stadt habe großes Interesse 
daran, dass es auf der Liegenschaft eine 
Entwicklung gebe - „und dass dieser 
Missstand behoben wird”. 

Der Datenskandal hatte 2020 für 
Schlagzeilen gesorgt. Damals veröffent- 
lichte der Youtuber „Ist-Marvin” ein Vi- 
deo und zeigte, wie er durch eine unver- 
schlossene Tür in das verlassene Gebäu- 
de geht und die Akten findet. Die Klinik 
stand da schon seit mehr als zehn Jah- 
ren leer (DANA 3/2020, 190). Schwu- 
chow: „Zu dem Zeitpunkt waren die 
Akten für jeden mit genug krimineller 
Energie frei zugänglich.” Die Auseinan- 
dersetzung über die Verantwortung für 
die Akten war dann Gegenstand eines 
gerichtlichen Disputs: Am 15.10.2020 
entschied das Oberverwaltungsgericht 
Hamburg in zweiter Instanz im vorläu- 
figen Rechtsschutzverfahren, dass die 
MK-Kliniken AG mit Sitz in Hamburg, die 
frühere 100%-ige Eigentümerin der in- 
solvent gegangenen MK-Kliniken GmbH, 
als letzte Krankenhausbetreiberin aus 
Datenschutzsicht für die lagernden Pa- 
tientenakten nicht verantwortlich sei, 
da diese nicht „verarbeitet” würden 
(OVGHH 15.10.2020 -5BS 152/20, DuD 
2020, 272 mit ablehnender Anm. Wei- 
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chert). Der Hamburgische Beauftragte 
für Datenschutz und Informationsfrei- 
heit wollte - erfolglos - die MK-Kliniken 
zu einem datenschutzkonformen Um- 
gang mit den Altakten verpflichten. 

Für die örtliche Ordnungsbehörde war 
es so gemäß Bürgermeister Schwuchow 
das Gebot der Stunde den „störenden 
Zustand” zu beseitigen: Fenster und 
Luftschächte wurden verriegelt, Türen 
mit Stahlgittern verschweißt. Und es 
wurde ein Sicherheitsdienst engagiert, 
anfangs war er 24 Stunden vor Ort. Laut 
einer Sprecherin des Verwaltungsge- 
richts Minden gab es einen „Patienten- 
aktentourismus” von Nachahmern des 
YouTubers. Schwuchow: „Die konnten 
alle aufgegriffen werden. Sonst wäre 
zum wiederholten Male massivst das Da- 
tenschutzgeheimnis verletzt worden.” 

Das Geld für die damaligen Maßnah- 
men - gut 13.500 Euro - und die lau- 
fenden Kosten für die Alarmanlage - gut 
300 Euro pro Monat - wollte die Stadt 
von der Eigentümerin zurück. Doch die 
klagte dagegen, so die Sprecherin des 
VG Minden, wo der Fall verhandelt wird. 
Erster Prozesstag war am 14.12.2022, 
das Urteil erging am 06.01.2023. 

Die letzte Klinikbetreibergesellschaft 
in diesem verzwickten Fall wurde im 
April 2010 insolvent. Sie ist - wie die 
Eigentümergesellschaft, die nun mit 
der Stadt vor Gericht streitet - eine 
hundertprozentige Tochter der MK- 
Kliniken AG, früher Marseille-Kliniken 
AG. Ein Sprecher der MK Kliniken AG 
hatte 2020 bei Presseanfragen auf den 
Insolvenzverwalter verwiesen, der für 
die ordnungsgemäße Entsorgung und 
Lagerung der Akten verantwortlich sei. 

Schwuchow sagt, er glaube, dass es 
auch für die Betroffenen der „sicherlich 
weit über 1.000 Akten” qut sei, dass ein 
Gericht über das künftige Verfahren mit 
den Akten entscheide: „Wir gehen davon 
aus, dass sämtliche Akten seit Bestehen 
dieses Krankenhauses dort lagern.” Es 
ist mehr als 150 Jahre alt. Seitens der 
Stadt gebe es eine große Bereitschaft 
„über denkbare Lösungsansätze zu ver- 
handeln“. Seine Wunschlösung wäre, 
dass Vernunft einkehre beim Eigen- 
tümer. Dieser könne zum Beispiel ein 
Krankenhaus in der Region beauftragen 
die Akten zu sichten und für die wei- 
ter aufzubewahrenden einen Raum zur 
Verfügung zu stellen, „damit man mal 
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einen Strich unter die Sache bekommen 
könnte” (Bauernfeind/dpa, Nach Da- 
tenskandal durch YouTuber: Gericht be- 
fasst sich mit Akten in alter Klinik, www. 
heise.de 18.12.2022, Kurzlink: https:// 
heise.de/-7398294). 


Rheinland-Pfalz 


Daten von Flüchtlingen und 
Volkszählungsverweigerern 
nach Cyberangriff im 
Darknet 


Nach erfolglosen Lösegeldforde- 
rungen hat eine Ransomware-Gruppe 
gemäß der Mitteilung von Landrat 
Clemens Körner (CDU) vom Rhein- 
Pfalz-Kreis unter anderem Daten der 
Kreisverwaltung von Zensusverweige- 
rern und ukrainischen Geflüchteten 
im Darknet veröffentlicht. Es wurden 
strafrechtliche Ermittlungen gegen die 
Cyberkriminellen, die sich Ransomwa- 
re Vice Societynennen, eingeleitet, die 
ca. 600 Rechner des Landkreises ge- 
hackt haben sollen. Unter den gestoh- 
lenen Informationen befinden sich un- 
ter anderem Daten von 54 Zensusver- 
weigerern sowie Namen, Anschriften 
und Geburtsdaten von ukrainischen 
Geflüchteten, diein dem Landkreis un- 
tergebracht wurden. 

Die Kreisverwaltung arbeitet mit allen 
beteiligten Behörden und der Polizei zu- 
sammen, um Gegenmaßnahmen durch- 


zuführen. Nachdem die Website der 
Kreisverwaltung am 11.11.2022 noch 
nicht wieder vollumfänglich erreichbar 
war, stellte diese eine Behelfsseite mit 
Informationen über den Vorfall zusam- 
men und erklärte dort, dass die Verwal- 
tung weder telefonisch noch per E-Mail 
erreichbar sei und Bürger ihre Anliegen 
der Kreisverwaltung in der Zwischenzeit 
über ein einfaches Webformular mittei- 
len könnten. Andere Kontaktmöglich- 
keiten seien die persönliche Vorsprache 
oder die Nutzung des Bürgertelefons 
mit der Rufnummer 115. 

Der Landrat begründete die Verweige- 
rung der Lösegeldzahlung damit, dass 
dies oft dazu führe, dass noch höhere 
Forderungen gestellt werden, weshalb 
Experten von einer Zahlung abraten. 
„Nach dem aktuellen Stand der Tech- 
nik” erfülle man einen hohen Sicher- 
heitsstandard. Eine 100-prozentige 
Sicherheit gäbe es nicht. Trotz großer 
Sicherheitsmaßnahmen sei es zu dem 
Cyberangriff gekommen, wie das Lan- 
deskriminalamt bestätigte. In einem 
offenen Brief hatte sich Körner umge- 
hend an die Bevölkerung gewandt. Bei 
der Hackergruppe handele es sich „um 
eine hochprofessionelle und organisier- 
te Gruppe, die aus Cyberangriffen ein 
regelrechtes Geschäftsmodell” gemacht 
habe (Koch/Eikenberg, Nach Cyberan- 
griff auf Verwaltung: Daten ukraini- 
scher Geflüchteter im Darknet, www. 
heise.de 11.11.2022, Kurzlink: https:// 
heise.de/-7337774). 


Datenschutznachrichten aus dem Ausland 


Weltweit 


Fast Y2 Milliarde WhatsApp- 
Konten geleakt 


Mitte November 2022 wurde von ei- 
nem Nutzer eines Hacker-Forums ge- 
mäß Presseberichten eine Datenbank 
aus dem gleichen Jahr mit Telefon- 
nummern von 487 Millionen WhatsApp- 
Nutzern zum Verkauf gestellt. Die Num- 
mern stammen wohl aus 84 Ländern. 
Dem Leak zufolge sind darunter mehr 
als 6 Millionen Nummern aus Deutsch- 


land. Gemäß den Berichten konnten 
Nummern eingesehen und WhatsApp- 
Nutzern zugeordnet werden. Das Leak 
scheint also echte Daten zu beinhal- 
ten. Der Verkäufer versichert, dass alle 
Nummern zu aktiven Konten gehören. 
WhatsApp-Eigner Meta gab zunächst 
kein Statement zu dem Vorfall. 

Unklar ist, woher die Datenbank 
stammt. Der Verkäufer gab nur an, dass 
er über „seine Strategie” an die Daten 
gekommen sei. Der Inhalt der Daten- 
bank könnte Cybernews zufolge aus 
Scraping stammen, was die Nutzungs- 
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bedingungen von WhatsApp verbie- 
ten. Dabei extrahieren Kriminelle mit 
Scraping-Tools Daten von Websites oder 
-diensten. Mit 45 Millionen stammt der 
Großteil der Nummern aus Ägypten. 
Aber auch Italien (35 Millionen), die 
USA (32 Millionen) und Frankreich (20 
Millionen) sind mit unzähligen Num- 
mern in der Datenbank vertreten. Über 
den Preis der Datenbank wurde zu- 
nächst nichts bekannt. Auch ob sie be- 
reits verkauft wurde, ist unklar. Die Te- 
lefonnummern könnten Angreifer etwa 
für Betrug und Phishing-Attacken miss- 
brauchen (Schirrmacher, Angeblich 487 
Millionen Telefonnummern über Whats- 
App geleakt, www.heise.de 25.11.2022, 
Kurzlink: https://heise.de/-7352670). 


EU 


Ministerrat legt Position zu 
EUid fest 


Die im EU-Ministerrat organisierten 
Regierungen der EU-Staaten haben ih- 
ren Kurs für eine europäische digitale 
Identität (EUid) festgelegt. Sie unter- 
stützen die Initiative der EU-Kommis- 
sion, dass allen Bürgern und Unterneh- 
men künftig digitale Brieftaschen zur 
Verfügung stehen müssen. In diesen 
„E-Wallets“ sollen die Nutzenden ihre 
nationale elektronische Identität (eID) 
speichern und mit Nachweisen ande- 
rer persönlicher Attribute wie Führer- 
schein, Abschlusszeugnissen, Geburts- 
oder Heiratsurkunde und ärztlichen 
Rezepten verknüpfen können. 

Die Kommission hatte ihren Verord- 
nungsentwurf für eine europäische di- 
gitale Identität (EUid) im Sommer 2021 
vorgelegt. Der Ministerrat, in dem je ein 
Minister jedes EU-Staates sitzt, hat zu 
dieser Skizze zur Reform der eIDAS-Ver- 
ordnung seine Position mit Änderungs- 
wünschen fixiert (s.o. S. 37). Umstrit- 
ten war im Vorfeld, dass die persönliche 
Wallet und eID mit einem lebenslangen 
eindeutigen Identifikator verbunden 
werden soll. Informationen aus zahlrei- 
chen Lebensbereichen könnten zusam- 
mengeführt werden und so die Bürger 
gläsern machen. Zwecks Abgleich von 
Datensätzen haben die Mitgliedstaaten 
„das Konzept der eindeutigen und dau- 
erhaften Kennung“ für die Online-Brief- 
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taschen beibehalten. In der entspre- 
chenden Definition stellen sie klar, dass 
dieses Personenkennzeichen „aus einer 
Kombination mehrerer nationaler und 
sektoraler Kennungen bestehen kann“. 

Der Rat hebt hervor, „dass der Ab- 
gleich von Datensätzen durch eine 
qualifizierte elektronische Bescheini- 
gung von Attributen erleichtert werden 
kann“. Zugleich schlägt er eine Klausel 
vor, wonach die Mitgliedstaaten den 
Schutz personenbezogener Daten ge- 
währleisten und die Erstellung von Nut- 
zerprofilen verhindern müssen. Wie dies 
gehen soll, bleibt offen. IT-Sicherheits- 
experten und der Bundesdatenschutz- 
beauftragte Ulrich Kelber warnen, dass 
bei einer universellen Wallet mit einer 
„staatlich signierten Ausweiskopie” 
profilübergreifendes Tracking drohe. 
Bei den geplanten EUid müsse beson- 
ders darauf geachtet werden, dass diese 
„nicht mit einheitlichen Personenkenn- 
zeichen verknüpft” werden. 

Der Rat erwartet, dass die sichere 
Speicherung kryptografischen Materials 
nur auf Basis einer Cybersicherheitszer- 
tifizierung zulässig wird. Prinzipiell soll 
ein „Secure Element” die IT-Sicherheit 
auf einem Mobilgerät gewährleisten. Auf 
dieses Element setzt auch die hiesige 
Smart-eID-Lösung für den Online-Aus- 
weis auf dem Handy. Solche speziellen 
Chips sind bisher nur in den wenigsten 
Modellen verfügbar. Der Rat will daher 
auch zertifizierte andere Speicherlösun- 
gen wie Sicherheitstoken zulassen. 

Der Ministerrat will die Absprache zwi- 
schen beteiligten Parteien modifizieren. 
In der Regel soll das Verfahren, mit dem 
eine Seite ihre Absicht mitteilt sich auf 
die Wallet zu verlassen, kosteneffizient 
und risikoadäquat sein. Für die Verar- 
beitung sensibler persönlicher Daten 
soll ein strengeres Registrierungs- oder 
Genehmigungsverfahren einzuhalten 
sein. Der Rat betont, dass Ausstellung, 
Verwendung zur Authentifizierung und 
Widerruf von E-Brieftaschen für natürli- 
che Personen kostenlos sein sollen. Ge- 
bühren dürfen aber Dienstebetreibern 
verrechnet werden, wenn sie EUid-Wal- 
lets zur Authentifizierung heranziehen. 

Das EU-Parlament muss seine Linie 
noch festzurren. Im Anschluss starten 
die Verhandlungen zwischen den Ge- 
setzgebungsgremien über einen finalen 
Kompromiss. Ivan Bartos, tschechischer 


Vizepremierminister für Digitalisierung 
und Mitglied der Piratenpartei, zeigte 
sich im Namen der Ratspräsidentschaft 
überzeugt, dass die EUid unverzicht- 
bar sei: „Wir stehen vor einem massiven 
Fortschritt in der Art und Weise, wie 
die Menschen ihre Identität und ihre 
Ausweise im täglichen Kontakt mit öf- 
fentlichen und privaten Einrichtungen 
verwenden und wie sie digitale Diens- 
te nutzen. Dabei behalten sie stets die 
Kontrolle über ihre Daten.” 

Der ebenfalls zu den Piraten gehö- 
rende EU-Abgeordnete Patrick Breyer 
schlug dagegen Alarm: Die EUid dür- 
fe „nicht zu einem digitalen Tagebuch 
auf Basis einer lebenslangen Identifi- 
kationsnummer werden, mit der unser 
digitales Leben erfasst und überwacht 
werden kann“. Anonymität und Pseu- 
donyme seien unverzichtbar. Auch die 
Bürgerrechtsorganisation Epicenter. 
works sprach von „beispiellosen Risiken 
für die Privatsphäre”. Mit der eindeu- 
tigen Kennung sei jede Nutzertrans- 
aktion „für den Mitgliedstaat zentral 
beobachtbar, sodass eine panoptische 
Sicht auf alle Lebensbereiche entsteht”. 
Die Diskussion liegt nun beim EU-Par- 
lament (Krempl, EUid: EU-Rat stimmt 
für Online-Ausweis mit eindeutigem 
Personenkennzeichen, wwrw.heise.de 
06.12.2022, Kurzlink: https://heise. 
de/-7368464; siehe dazu auch den Offe- 
nen Brief aufS. 37). 


EU 


Regierungen blockieren 
parlamentarische Spionage- 
Aufklärung 


Im Juli 2021 hatte ein Konsortium von 
Investigativ-Journalisten Berichte über 
den Missbrauch der Spionagesoftware 
Pegasus des israelischen Herstellers NSO 
durch Staaten in aller Welt veröffentlicht 
(DANA 3/2021, 187 f). Unter den Abge- 
hörten befanden sich auch mehrere eu- 
ropäische Staatschefs. Um die Vorwürfe 
zu klären, hat das EU-Parlament im März 
2022 einen Untersuchungsausschuss 
eingerichtet; am 08.11.2022 stellte die 
Berichterstatterin des Ausschusses, So- 
phie in’t Veld, die bisherigen Erkennt- 
nisse vor. Demzufolge nutzen so gut wie 
alle EU-Mitgliedstaaten Spionagesoft- 
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ware. Allein der Hersteller NSO gab an 
14 Kunden in der EU zu haben, zweien 
von ihnen sei gekündigt worden. 

Sophie in’t Veld nennt den Spionage- 
Skandal ein europäisches „Watergate“. 
Watergate war der bislang größte US- 
amerikanische Abhörskandal, bei dem 
die regierenden Republikaner Anfang 
der 70er-Jahre unter Richard Nixon das 
Büro der Demokratischen Partei mit 
Wanzen abhörten. Seitdem ist die Ab- 
hörtechnik um einiges raffinierter ge- 
worden. Programme machen Handys zu 
Wanzen. 

Bei der parlamentarischen Unter- 
suchung geht es um die weitgehend 
unkontrollierte Nutzung von digitaler 
Spionagesoftware durch Staaten in 
Europa. Dabei stehen fünf Länder im 
Fokus des Berichts. In Zypern haben 
sich demnach viele Firmen angesie- 
delt, die Spyware herstellen, weil es 
dort vergleichsweise laxe Regeln gibt. 
In Spanien (DANA 3/2022, 190 £.), 
Griechenland, Polen (DANA 1/2022, 
47) und Ungarn wurde Spyware in gro- 
ßem Stil eingesetzt. In Spanien richte- 
te sich die Überwachung vorwiegend 
gegen Politiker in Katalonien, die sich 
für eine Unabhängigkeit von Spanien 
einsetzten, in Ungarn und Polen fand 
sich Spionagesoftware auf Telefonen 
von Oppositionellen oder Journalisten, 
was ein eklatanter Verstoß gegen euro- 
päische Werte und individuelle Rechte 
der Betroffenen ist. 

Rechtlich unterliegt die Nutzung von 
Überwachungssoftware durch Ermitt- 
lungsbehörden strengen Regeln. Doch 
in einigen Mitgliedstaaten werden 
diese dem vorläufigen Bericht zufolge 
bewusst vage formuliert oder gezielt 
ausgehöhlt. Der jüngste Abhörskan- 
dal plagt Griechenland (DANA 4/2022, 
269 f.). Dort veröffentlichten Medien 
eine Liste mit 33 Opfern, die mit der 
Spyware Predator des Herstellers In- 
tellexa ausgespäht wurden, darunter 
hauptsächlich Politiker und Journa- 
listen. Auch die EU-Kommission selbst 
wurde dem Bericht zufolge Opfer von 
Abhör-Attacken. 

Dennoch musste sich der PEGA-Aus- 
schuss bei seiner Arbeit weitgehend auf 
öffentliche Quellen stützen. Grund da- 
für seien zum einen mangelnde Befug- 
nisse von Untersuchungsausschüssen 
des EU-Parlaments. Der Ausschuss kann 
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niemanden vorladen. Falschaussagen 
sind nicht strafbar. Der andere Grund ist 
in’t Veld zufolge die unzureichende Ko- 
operationsbereitschaft der EU-Länder, 
die auf Fragen des Ausschusses meist 
mit Verweis auf die nationale Sicherheit 
nicht antworten wollten. Im Juli 2022 
hatte der Ausschuss den Mitgliedstaa- 
ten einen Fragenkatalog zur Nutzung 
von Spyware geschickt. Die äußerst 
ausweichende Antwort durch den Eu- 
ropäischen Rat kam erst am Abend vor 
der Veröffentlichung des vorläufigen 
Berichts. 

Auch die Kommission leistete in’t Veld 
zufolge keinen signifikanten Beitrag 
zur Aufklärung, obwohl rund 60 Mitar- 
beiter der Kommission mit Spähsoftware 
attackiert worden sein sollen, darunter 
auch der belgische Kommissar für Jus- 
tiz, Didier Reynders. Genauere Informa- 
tionen verweigere die Kommission mit 
Verweis auf ihre eigene Sicherheit. An- 
greifer könnten zu viel über die Abwehr- 
fähigkeiten der Kommission erfahren. 

Diese Abwehrfähigkeiten stellt in’t 
Veld, die für die niederländische Par- 
tei D66 im EU-Parlament sitzt, infrage. 
Die EU sei schnell dabei sich zu vertei- 
digen, wenn die Bedrohung von außen 
komme, seien es Fake News oder dro- 
hende Hassrede auf Twitter. Doch habe 
die Europäische Union ein Problem, 
wenn es darum gehe Bedrohungen von 
innen abzuwehren: „Wenn die Bedro- 
hung nicht von irgendwem da drau- 
ßen kommt, sondern von Regierungen 
der Nationalstaaten, ist die Kommis- 
sion auf einmal der Ansicht, dass die 
Verteidigung der europäischen Werte 
keine europäische Angelegenheit ist, 
sondern Aufgabe der Nationalstaaten.” 
Die Nutzung von Spyware in der EU sei 
alles andere als eine nationale Frage, 
erst recht, wenn Opfer in der Kom- 
mission und im Parlament säßen und 
Täter im Europäischen Rat. In’t Veld 
erklärte, sie hoffe, dass die Erkennt- 
nisse aus dem vorläufigen Bericht 
einige Staaten ermutigen sich doch 
noch an der Aufklärung zu beteiligen. 
Der Abschlussbericht des Ausschus- 
ses wird im März 2023 erwartet (zum 
Einsatz in Deutschland DANA 4/2021, 
239 ff; Israel DANA 2/2022, 118 f. u. 
1/2022, 49 ff.; USA DANA 1/2022, 
53 f.; Muth, Spionieren unter Nach- 
barn, SZ 09.11.2022, 7). 


EU/Irland 


EDSA zwingt irische DPC 
zu Sanktionierung von 
Meta 


Meta Platforms darf gemäß dem Be- 
schluss des Europäischen Datenschut- 
zausschusses (EDSA) vom 05.12.2022 
keine Personendaten für Werbezwecke 
ohne explizite Einwilligung der Betrof- 
fenen nutzen. Die im EDSA vertretenen 
Aufsichtsbehörden überstimmten da- 
mit die irische Datenschutzbehörde, 
die Data Protection Commission (DPC), 
und verpflichteten diese eine Strafe zu 
verhängen. Im Januar 2023 verhängte 
die DPC, die das Verfahren vier Jahre 
hinausgezögert hatte, daraufhin ein 
Bußgeld in Höhe von 390 Mio. Euro, was 
nach Ansicht des Beschwerdeführers 
viel zu wenig ist. 


« Werbeauswertung ist illegal 


In der Entscheidung geht es um Da- 
tenschutzbestimmungen, die Meta 
Platforms bei Facebook, Instagram und 
WhatsApp anwendet. Für die Auswer- 
tung des Nutzerverhaltens auf fremden 
Webseiten und Apps bietet Meta eine 
Opt-Out-Option an. Für die Auswer- 
tung der auf Facebook und Instagram 
selbst anfallenden Daten haben User 
bislang jedoch keine Wahl. Seit 2018 
gilt die Datenschutz-Grundverordnung 
(DSGVO). Diese legt fest, unter welchen 
Bedingungen personenbezogene Da- 
ten genutzt werden dürfen. In einigen 
Fällen geht das ohne explizite Zustim- 
mung, insbesondere dann, wenn Daten 
ausgewertet werden müssen, um die 
Leistung erbringen zu können: Wer sich 
z.B. etwas liefern lässt, muss akzeptie- 
ren, dass der Bote die Lieferadresse er- 
fährt. Facebook (heute Meta Platforms) 
versuchte diese Bestimmung auszunut- 
zen: Am 25.05.2018, dem Zeitpunkt des 
Inkrafttretens der DSGVO, erklärte der 
Datenkonzern in seinen Nutzungsbe- 
dingungen die Berieselung mit persön- 
lich zugeschnittener Werbung zum Teil 
des Dienstes, so z.B. in der aktuellen 
Fassung für deutsche Facebook-User: 

„Wir helfen dir, Inhalte, Produkte und 
Dienste zu entdecken, die dich mög- 
licherweise interessieren: Wir zeigen 


DANA ® Datenschutz Nachrichten 1/2023 


dir personalisierte Werbeanzeigen, An- 
gebote und sonstige gesponserte oder 
kommerzielle Inhalte, um dir dabei zu 
helfen, Inhalte, Produkte und Dienste 
zu entdecken.” 

Die von Max Schrems gegründete eu- 
ropäische Datenschutzorganisation noyb 
legte noch im Mai 2018 Beschwerde bei 
der irischen Datenschutzbehörde, der 
DPC, ein. Meta Platforms unterhält sei- 
nen Europasitzin Irland, weshalb die DPC 
zuständig ist. Eine weitere Beschwerde 
kam von einem belgischen Staatsbürger. 
Fortan argumentierte Meta, die Auswer- 
tung personenbezogener Daten sei nicht 
bloß zulässig, nein, es schulde diesen 
„Dienst“ seinen Nutzern, was die DPC 
unterstützte. Laut Meta gab es während 
des laufenden Verfahrens zehn vertrau- 
liche Treffen mit der Behörde, an denen 
der Beschwerdeführer nicht teilnehmen 
durfte, was noyb kritisiert: „Aufgrund 
der mitunter grotesken Verfahrensfüh- 
rung durch die DPC dauerte der Fallmehr 
als 4,5 Jahre und führte zu Hunderten 
von Seiten an Berichten und Stellung- 
nahmen, obwohl es sich um eine recht 
einfache Rechtsfrage handelte.” 


e DPC Irland deckt Facebook /Meta 


2021 machte noyb öffentlich, dass die 
DPC sogar versucht hat die Leitlinien des 
Europäischen Datenschutzausschusses 
(EDSA) für die Auslegung der DSGVO im 
Sinne Metas zu beeinflussen. Im EDSA 
kommen der Europäische Datenschutz- 
beauftragte und die Datenschutzbehör- 
den des EWR (Europäischer Wirtschafts- 
raum) zusammen; Stimmrecht haben 
nur EU-Mitglieder. Am 05.12.2022 tagte 
der EDSA zum 72. Mal. Einziger Tages- 
ordnungspunkt war die Sicherstellung 
der einheitlichen Anwendung europä- 
ischen Datenschutzrechts bei in Irland 
gegen Meta anhängigen Verfahren, 
nämlich je einem zu Facebook, Insta- 
gram und WhatsApp. Der EDSA lehnte 
den Bescheidentwurf der irischen Kol- 
legen ab, mit dem Facebooks Einwil- 
ligungstrick abgenickt werden sollte. 
Stattdessen ordnet der EDSA die irische 
DPC an Metas Regeln für rechtswidrig zu 
befinden und innerhalb eines Monats 
eine Strafe zu verhängen. Gegen den 
Bescheid dürfte Meta dann vor Gericht 
ziehen, was die Sache weitere Jahre hi- 
nauszögern dürfte. 
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Die Freude bei Schrems über die ED- 
SA-Entscheidung war eher verhalten: 
„In diesem Fall geht es um eine einfache 
Rechtsfrage, die aber endlos verzögert 
wurde. Trotz des langwierigen Verfah- 
rens freuen wir uns über die Entschei- 
dung des Europäischen Datenschutz- 
ausschusses.” Allerdings könnten die 
Gerichtsverfahren noch geraume Zeit 
dauern. Schrems ärgert zudem, dass 
der Erlös aus der Strafe an Irland fließt 
- jenen Staat, der das Verfahren lange 
verzögert und sich an die Seite Metas 
gestellt hat. Unterliegt Meta auch vor 
Gericht, droht eine saftige Milliarden- 
strafe, da der Trick mit den Nutzungsbe- 
dingungen als vorsätzliche Verletzung 
der DSGVO ausgelegt werden könnte. 
Gemäß Presseberichten hat Metas Ir- 
landtochter ihre Rücklagen für Daten- 
schutzstrafen bereits 2021 von zwei auf 
drei Milliarden Euro aufgestockt. 

Für Werbeplattformen, die sich an 
die DSGVO-Auslegung des EDSA halten, 
wäre eine Verurteilung Metas eine gute 
Nachricht. Die Gelddruckmaschine Me- 
tas müsste einen Gang zurückschalten. 
Legal bleibt Werbung kontextbasiert aus- 
zuspielen. So darf Meta neben einem Vi- 
deo eines Squash-Ballwechsels Werbung 
für Squashschläger zeigen. Das zielt zwar 
auch auf die vermeintlichen Interessen 
der Zuschauer ab, aber ohne deren Ver- 
halten abseits der aktuellen Ansicht oder 
sonstige personenbezogene Daten her- 
anzuziehen. Meta kündigte an gegen das 
Bußgeld Einspruch einzulegen. 


« noyb: Bußgeld ist viel zu niedrig 


Nachdem der EDSA seine Entschei- 
dungen in den beiden Fällen veröffent- 
licht hatte kritisierte Schrems und sein 
Verein noyb die Bußgeldhöhe. Meta 
komme mit der Strafe von insgesamt 
390 Millionen Euro, die die irische Da- 
tenschutzbehörde jüngst gegen den 
US-Konzern verhängt hat, viel zu billig 
davon. Die DPC hätte Meta mit der mög- 
lichen Höchststrafe von 4,36 Milliarden 
Euro belegen müssen, so noyb: „Die 
DPC ignorierte die von Meta erzielten, 
rechtswidrigen Einnahmen.” Die Behör- 
de habe sich nicht veranlasst gesehen 
auch nur eine Schätzung vorzuneh- 
men. Schrems: „Jeder weiß von Metas 
enormen Einnahmen durch Werbung.” 
Die irische Behörde habe nicht einmal 


von ihren gesetzlichen Befugnissen Ge- 
brauch gemacht den Plattformbetreiber 
um diese Informationen zu bitten. noyb 
habe die einschlägigen Daten recher- 
chiert und „in einer Stunde berechnen” 
können, „dass die Geldstrafe um 3,97 
Milliarden Euro höher sein müsste“. 

Nach eigenen Angaben hat das bör- 
sennotierte Meta zwischen dem dritten 
Quartal 2018 und dem dritten Quartal 
2022 84,7 Milliarden Euro mit Werbung 
auf dem europäischen Kontinent ein- 
genommen. Heruntergerechnet auf EU- 
Nutzer ergibt dies rund 72,5 Milliarden 
Euro. Selbst wenn es sich dabei nicht nur 
um Umsätze aus personalisierter Wer- 
bung handle, geht noyb davon aus, dass 
diese um ein Vielfaches höher lagen als 
die nicht verhängte Höchststrafe. 

Der EDSA hatte die irische Aufsicht 
angewiesen, dass die Sanktion „den 
entstandenen Vorteil aus der rechts- 
widrigen Verarbeitung” widerspiegeln 
müsse und hatte gefordert „eine Geld- 
strafe zu verhängen, die diesen Betrag 
übersteigt”. 

Dieser Auflage widersetzte sich, so 
Schrems, die DPC. Die Behörde habe Meta 
so „gut 4 Milliarden Euro geschenkt”. Laut 
der DSGVO müssen Sanktionen generell 
„wirksam, verhältnismäßig und abschre- 
ckend” sein und den „finanziellen Nutzen 
aus dem Verstoß“ berücksichtigen. Der 
Ermessensraum endet bei einem Konzern 
bei 4 Prozent des weltweiten Umsatzes 
des vergangenen Jahres. Im Fallvon Meta 
würde dies einer Höchststrafe von 4,36 
Milliarden Euro entsprechen, die laut 
Schrems angesichts der Werbeumsätze 
des Unternehmens auch in jedem Fall fäl- 
lig gewesen wäre. 

Die DPC hatte in ihren Entscheidungs- 
entwürfen zunächst eine Geldbuße von 
maximal 36 Millionen Euro für Facebook 
und 23 Millionen Euro für Instagram 
vorgesehen. Erst nach der Intervention 
des EDSA setzte sie diese auf 210 und 
180 Millionen Euro hoch. Die Bürger- 
rechtler von noyb drängen den EDSA 
seine bereits erteilten Vorgaben voll- 
ständig durchzusetzen. Sonst hätte es 
sich für Meta „absolut gelohnt gegen die 
DSGVO zu verstoßen”. 


+ Nicht das Ende vom Lied 


Weitere gerichtliche Auseinanderset- 
zungen zeichnen sich in dem Streit ab. 
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So wies der EDSA die DPC bereits an eine 
neue Untersuchung durchzuführen, 
die sich auf alle Datenverarbeitungs- 
vorgänge von Facebook und Instagram 
erstreckt. Sie soll besondere Kategorien 
personenbezogener Daten einschlie- 
ßen, die im Zusammenhang mit diesen 
Vorgängen verarbeitet werden können 
oder nicht. 

Die DPC will dem nicht nachkommen 
und kündigte an eine Nichtigkeitsklage 
beim Europäischen Gerichtshof einzu- 
reichen, um die Aufhebung der Direk- 
tive des EDSA zu erreichen. Dieser habe 
„keine allgemeine Aufsichtsfunktion“. 
Dem Ausschuss stehe es nicht zu „eine 
Behörde anzuweisen, unbefristete und 
spekulative Untersuchungen durch- 
zuführen“. Alles andere wäre nicht mit 
den in der DSGVO festgelegten Koopera- 
tions- und Kohärenzregelungen verein- 
bar (Sokolov, EU lehnt Facebook-Trick 
ab: Werbung ist keine Leistung, DSGVO- 
Strafe folgt, www.heise.de 06.12.2022, 
Kurzlink: https://heise.de/-7368428; 
Strafe gegen Meta-Konzern, SZ 
05./06.01.2023; Krempl, Beschwerde- 
führer: Irische DSGVO-Strafe für Meta 
müsste 4 Milliarden höher sein, www. 
heise.de 18.01.2023, Kurzlink: https:// 
heise.de/-7463309). 


EU/Irland 


265-Millionen-Strafe gegen 
Meta wegen Facebook- 
Datenabfluss 


Die irische Datenschutzbehörde Data 
Protection Commission (DPC) teilte am 
28.11.2022 mit, dass sie gegen die iri- 
sche Niederlassung der Facebook-Mut- 
ter Meta eine Strafe in Höhe von 265 
Millionen Euro verhängt hat, weil Face- 
book 2018 nicht ausreichend verhindert 
hat, dass insgesamt etwa 533 Millionen 
Datensätze mit persönlichen Informa- 
tionen von Facebook-Nutzenden abge- 
griffen und veröffentlicht worden sind. 
Meta muss danach eine Reihe von Abhil- 
femaßnahmen treffen, um die Datenver- 
arbeitung in Einklang mit den Bestim- 
mungen der Datenschutz-Grundverord- 
nung (DSGVO) zu bringen. Die DPC hatte 
im April 2021 eine Untersuchung gegen 
Meta eingeleitet, nachdem im glei- 
chen Monat erneut Telefonnummern, 
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E-Mail-Adressen und weitere Daten von 
Facebook-Nutzenden im Internet veröf- 
fentlicht worden waren. 2018 bestätigte 
Facebook, dass Nutzerdaten des Online- 
Netzwerks über Facebooks Entwickler- 
API durch automatische Abrufe syste- 
matisch eingesammelt werden konnten. 
2019 waren 419 Millionen solcher Da- 
tensätze im Internet aufgetaucht. 

Facebook hatte behauptet, dass die 
im April 2021 aufgetauchten Daten vor 
Mai 2018 abgegriffen worden seien, be- 
vor das Unternehmen den Zugriff tech- 
nisch eingeschränkt hatte. Den Unter- 
suchungen der Datenschützer zufolge 
stammte jedoch ein Großteil der Daten 
aus dem Jahr 2019. Entsprechend sieht 
die DPC einen Verstoß gegen Artikel 25 
Abs. 1 u. 2 DSGVO. Meta habe es unter- 
lassen geeignete technische und orga- 
nisatorische Maßnahmen zu treffen, um 
die Einhaltung der DSGVO-Verpflichtung 
zum Datenschutz durch Design und 
Standard einzuhalten. 

Nach Angaben der DPC ist das „umfas- 
sende Untersuchungsverfahren” in Ko- 
operation mit sämtlichen Datenschutz- 
behörden der EU erfolgt. Sie hätten der 
Entscheidung der DPC am 25.11.2022 
zugestimmt. In der Entscheidung sei 
neben der Strafe ein Verweis und eine 
Anordnung ausgesprochen worden. 
Meta müsse nun innerhalb eines fest- 
gelegten Zeitrahmens Abhilfemaßnah- 
men schaffen. Seit September 2021 
hat die DPC mehrere Strafen wegen 
potenzieller Datenschutzverstößen 
gegen die irische Meta-Niederlassung 
verhängt, die sich inzwischen auf ins- 
gesamt etwa 910 Millionen Euro be- 
laufen. Darunter fallen Strafen gegen 
WhatsApp und Instagram. Gegen diese 
hat Meta Rechtsmittel eingelegt, Urtei- 
le stehen noch aus (Bünte, Facebook- 
Scraping: Irische Datenschützer ver- 
hängen Millionenstrafe gegen Meta, 
www.heise.de 28.11.2022, Kurzlink: 
https://heise.de/-7358898). 


EU/Irland 


DPC: Mini-Bußgeldbescheid 
für WhatsApp 


Die irische Datenschutzbehörde, die 
Data Protection Commission (DPC), hat 
nach Facebook und Instagram auch 


WhatsApp wegen dessen Praxis der 
„zwangseinwilligung“ in eine breit 
gefasste Verarbeitung personenbezo- 
gener Informationen von Nutzern mit 
einem Bußgeld in Höhe von 5,5 Mil- 
lionen Euro bestraft. Der Messaging- 
Anbieter, der wie die anderen beiden 
Plattformbetreiber zum US-Konzern 
Meta gehört, kommt dabei glimpflich 
davon: Facebook soll 210 und Insta- 
gram soll 180 Millionen Euro zahlen, 
was Kritiker bereits als viel zu niedrig 
ansehen (s.o.). 

Alle drei Fällebrachte der österreichi- 
sche Datenschutzaktivist Max Schrems 
mit seiner Organisation noyb in die 
Gänge. Diese reichte die Beschwerden 
gegen die den Nutzern abgeforderte 
„Zwangseinwilligung” im Mai 2018 di- 
rekt nach Wirksamwerden der Daten- 
schutz-Grundverordnung (DSGVO) ein. 
Im Fall von WhatsApp agierte noyb da- 
bei im Namen eines deutschen Users. 
Der Kernvorwurf lautete jeweils, die 
Dienste hätten datenhungrige Services 
wie gezielte Werbung als Leistung für 
die Nutzer ausgegeben und die Zustim- 
mung zum Online-Tracking einfach in 
die Allgemeinen Geschäftsbedingun- 
gen eingebaut. 

Mit ihrer neuen Entscheidung bestä- 
tigt die DPC, dass Meta WhatsApp-Nut- 
zende nicht zwingen darf die Verwen- 
dung ihrer Daten für „Serviceverbesse- 
rungen“ und „Sicherheitsfunktionen” 
mit abzunicken. Den wesentlichen 
Punkt der Verarbeitung der persönli- 
chen Informationen für „verhaltensbe- 
zogene Werbung, für Marketingzwecke 
sowie für die Bereitstellung von Statis- 
tiken an Dritte und den Austausch von 
Daten mit verbundenen Unternehmen” 
behandelte die Behörde gar nicht. Der 
Europäische Datenschutzausschuss 
(EDSA) als übergeordnetes Gremium 
hatte die DPC aber aufgefordert auch 
diese Fragen mit zu untersuchen. 

WhatsApp bietet selbst zwar keine 
personalisierte Werbung an. noyb geht 
aber davon aus, dass der Anbieter Me- 
tadaten an Facebook und Instagram 
weitergibt, die wiederum dort für ge- 
zielte Reklame verwendet werden. 
Diese Verbindungs- und Standortdaten 
gäben viele Informationen über das 
Kommunikationsverhalten der Nutzer 
und ihr soziales Gefüge preis, etwa 
wer mit wem wann kommuniziert, wer 
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die App wann, wie lange und wie oft 
nutzt. Im Gegensatz zu den ausge- 
tauschten Inhalten sind die Metada- 
ten unverschlüsselt. Schrems zeigte 
sich erstaunt, wie die DPC nach einem 
4,5-jährigen Verfahren und den damit 
verknüpften Kosten „den Kern des Fal- 
les einfach ignoriert”. Auch die ver- 
bindliche Entscheidung des EDSA habe 
die Aufsichtsinstanz offensichtlich 
nicht beachtet. Man könnte glauben, 
dass die DPC endgültig alle Verbindun- 
gen zu den anderen EU-Behörden und 
zu den Anforderungen des EU- und des 
irischen Rechts kappe und außerdem 
den Partnern „endgültig den Stinke- 
finger” entgegenstrecke. Die vom EDSA 
in Auftrag gegebenen weitergehenden 
Untersuchungen lehnt die irische Be- 
hörde - genauso wie bei Facebook und 
Instagram - ab. Soweit das Gremium 
seine Befugnisse überschreiten könn- 
te, hält sie es für angemessen „eine 
Nichtigkeitsklage vor dem Europäi- 
schen Gerichtshof zu erheben”. 

WhatsApp kündigte an die Entschei- 
dung der DPC anzufechten: „Wir sind der 
festen Überzeugung, dass die Art und 
Weise, wie der Dienst funktioniert, so- 
wohl technisch als auch rechtlich kon- 
form ist.” Der EDSA überstimmte in der 
Auseinandersetzung den Beschlussent- 
wurf der irischen Aufsicht zum sechsten 
Mal in Folge und drängte auf Verschär- 
fungen. Die DPC gilt seit Langem als „Fla- 
schenhals” bei der DSGVO-Umsetzung in 
der ganzen EU (Krempl, „Stinkefinger”: 
WhatsApp kommt bei Einwilligungstrick 
mit kleiner Strafe davon, www.heise.de 
19.01.2023, Kurzlink: https://heise. 
de/-7464806). 


EU/USA 


Transatlantischer Daten- 
schutz-Rahmen vorgelegt 


Die EU-Kommission hat am 
13.12.2022 nach fast eineinhalb Jah- 
ren Verhandlungen mit der US-Regie- 
rung ihren Vorschlag für einen neuen 
Angemessenheitsbeschluss veröffent- 
licht. Auf insgesamt 134 Seiten wird 
dem um die US-Präsidialverfügungen 
vom Oktober 2022 erweiterten US- 
Datenschutzrecht ein angemessener 
Schutz personenbezogener Daten 
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nach Artikel 45 DSGVO attestiert, wenn 
Unternehmen sich dem sogenannten 
transatlantischen „EU-US-Data Priva- 
cy Framework” (TDPF) unterwerfen. 
Wenn der Angemessenheitsbeschluss 
in den kommenden Monaten finali- 
siert wird, können Unternehmen und 
andere Organisationen sich den Be- 
stimmungen unterwerfen und über 
das sogenannte TDPF personenbezo- 
gene Daten aus der EU in den USA ver- 
arbeiten. 

Die EU-Kommission begründet ihren 
Entwurf eines Angemessenheitsbe- 
schlusses umfangreich: Der Europä- 
ische Gerichtshof habe klargestellt, 
dass es für einen solchen kein identi- 
sches Schutzniveau benötige. Das al- 
lerdings war nie umstritten, sondern 
vielmehr, ob in den USA dem Anspruch 
eines funktional äquivalenten Daten- 
schutzes zum EU-Niveau ausreichend 
nachgekommen wird. Zweimal stellten 
die Richter des Europäischen Gerichts- 
hofes (EuGH) in Luxemburg fest, dass 
dies auch mit zusätzlichen Zusiche- 
rungen nicht der Fall war. EU-Justiz- 
kommissar Reynders, der die Verhand- 
lungen mit der US-Regierung leitete, 
hofft, dass es dieses Mal klappt. 

US-Präsident Joe Biden hatte in seiner 
Executive Order 14086 unter anderem 
Maßnahmen angeordnet, mit denen die 
US-Nachrichtendienste zu Änderungen 
bei der Signalaufklärung verpflichtet 
werden. So sollen die US-Dienste künf- 
tig bei ihren Datensammlungen darauf 
achten, dass diese „notwendig und 
verhältnismäßig” sind, und bei ihren 
Datensammlungen besser kontrolliert 
werden. Zudem soll auch ein Zwei-Kam- 
mer-Rechtsweg für Nicht-EU-Bürger of- 
fenstehen, mit dem Einwände geltend 
gemacht werden können. 

Wie bei den beiden vorangegangenen 
Versuchen den USA ein angemessenes 
Datenschutzniveau zu bescheinigen, 
ist auch diesmal kein Automatismus 
vorgesehen. US-Unternehmen, die un- 
ter das EU-US-Data Privacy Framework 
schlüpfen wollen, müssen sich bei der 
Handelsaufsicht, der Federal Trade 
Commission (FTC), registrieren lassen 
und die damit verbundenen Verpflich- 
tungen akzeptieren. Die FTC ist als 
Aufsichtsbehörde rechtlich in der Lage 
Verstöße gegen Selbstverpflichtungen 
hart zu ahnden. 


Zur Angemessenheitsentscheidung 
der EU-Kommission müssen im nächs- 
ten Schritt Stellungnahmen der Mit- 
gliedstaaten und der europäischen 
Datenschutzaufsichtsbehörden erfol- 
gen. Letztere haben allerdings kein 
Einspruchsrecht. Auch das Europa- 
parlament hat Mitberatungsrechte. 
Allerdings kann es den Entwurf formal 
nicht verhandeln, sondern nur über ein 
Einspruchsverfahren komplett verhin- 
dern, was als unwahrscheinlich gilt. 
Die EU-Kommission will das Verfahren 
in wenigen Monaten abschließen. 

Aus Sicht der Internetwirtschaft ist 
der Entwurf der Kommission ein guter 
Schritt, Oliver Süme, Vorstand des Ver- 
bands Eco: „Insbesondere für viele klei- 
ne und mittelständische Unternehmen 
in Europa ist ein rechtssicherer Daten- 
austausch auf internationaler Ebene 
die Basis für ihre datengetriebenen Ge- 
schäftsmodelle.” Er hoffe auf eine zeit- 
nahe Verabschiedung des Angemessen- 
heitsbeschlusses. Der österreichische 
Datenschutzaktivist Max Schrems, der 
schon die Vorgängervereinbarungen 
Safe Harbor und Privacy Shield vor dem 
EuGH zu Fall brachte, wird den vorge- 
schlagenen Angemessenheitsbeschluss 
prüfen: „Da sich der Entscheidungsent- 
wurf auf die bereits bekannte Executive 
Order stützt, glaubeich kaum, dass die- 
se einer Anfechtung vor dem Gerichts- 
hof standhalten wird.” Ob Schrems da- 
mit Recht behält, werden absehbar die 
Luxemburger Richter prüfen müssen. 
EU-Justizkommissar Didier Reynders 
zeigte sich verhalten optimistisch, 
dass der dritte Anlauf diesmal dort 
Bestand haben könnte. Dem Entwurf 
sind wieder zahlreiche Schreiben von 
US-Stellen beigefügt, etwa die Aus- 
führungen des Department of Commer- 
ce, der Chefin der US-Handelsaufsicht 
FTC Lina Khan, des US-Justizministe- 
riums und der Behörde des Direktors 
der Nachrichtendienste (ODNI). In 
den Schreiben wird erläutert, welche 
Zusicherungen die US-Seite gege- 
ben hat und wie diese gemeint sind 
(vgl. Weichert, DANA 4/2022, 246 ff.; 
Steiner, „Privacy Shield”“-Nachfolger: 
Vorschlag der EU-Kommission zur 
US-Datenspeicherung, www.heise.de 
14.12.2022, Kurzlink: https://heise. 
de/-7393763; Muth, Daten wieder in 
die USA, SZ 14.12.2022, 15). 
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Frankreich 


CNIL verhängt gegen 
Microsoft 60-Mio.-Euro- 
Bußgeld wegen Cookie- 
Einstellungen 


Die französische Datenschutzbe- 
hörde CNIL (Commission Nationale 
de U’Informatique et des Libertes) hat 
am 19.12.2022 Microsoft ein Bußgeld 
in Höhe von 60 Millionen Euro auf- 
erlegt, weil es beim Suchen mit Bing 
keine einfache Option zum Ablehnen 
von Cookies gab. Sie begründet die 
Höhe des Bußgelds mit dem Umfang 
der erfolgten Datenverarbeitung und 
der Anzahl der betroffenen Personen. 
Eingepreist hat die Aufsichtsinstanz 
auch Gewinne, die der US-Konzern mit 
europäischem Hauptsitz in Irland aus 
Werbeeinnahmen erzielt habe. Berück- 
sichtigt hat die CNIL dabei nach eige- 
nen Angaben nur Einkünfte, die indi- 
rekt auf Daten beruhen, die Microsoft 
mithilfe von Cookies gesammelt hat. 

Die Datenschützer hatten Kontrol- 
len auf bing.com im September 2020 
und Mai 2021 durchgeführt und stell- 
ten fest, dass bei Nutzern Cookies 
ohne Zustimmung auf den Endgeräten 
landeten, obwohl sie unter anderem 
Werbezwecken dienten. Es habe keine 
Schaltfläche gegeben, mit der Besu- 
cher das Setzen der Browserdateien 
„ebenso einfach ablehnen, wie akzep- 
tieren“ hätten können. Um über den 
Banner alle Cookies zurückzuweisen, 
waren zwei Klicks erforderlich; um sie 
entgegenzunehmen nur einer. Dieser 
verkompliziertte Ablehnungsmecha- 
nismus verleitete User den Prüfern 
zufolge dazu aus Bequemlichkeit die 
Zustimmungsschaltfläche im ersten 
Fenster zu bevorzugen. 

Zusätzlich zu der Geldstrafe erließ 
die CNIL auch eine Anordnung, wonach 
das Unternehmen auf bing.com inner- 
halb von drei Monaten die Zustimmung 
von Personen einholen muss, die die 
Suchmaschine aus Frankreich an- 
steuern, bevor es auf ihrem Endgerät 
Cookies zu Werbezwecken ablegt und 
Tracker einsetzt. Bei einer verspäte- 
ten Umsetzung dieser Auflage droht 
Microsoft ein Zwangsgeld in Höhe von 
60.000 Euro pro Tag. Die Behörde ver- 
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weist darauf, dass die Bedingungen für 
das Einholen der Zustimmung der Nut- 
zer lange rechtswidrig gewesen seien. 
Erst am 29.03.2022 habe der Konzern 
eine Schaltfläche „Alles ablehnen“ ein- 
geführt. 

Die Sanktion verhängte die CNIL 
nicht auf Basis der Datenschutz- 
Grundverordnung (DSGVO), sondern 
auf Artikel 82 des nationalen Gesetzes 
über Informatik und Freiheiten, mit 
dem der französische Gesetzgeber die 
E-Privacy-Richtlinie der EU von 2002 
umgesetzt hatte. Die französischen 
Kontrolleure mussten den Fall so nicht 
an die irische Datenschutzbehörde 
DPC weiterleiten, die nach der DSGVO 
federführend für Microsoft zuständig 
ist. Die CNIL verhängte zuvor aus ver- 
gleichbaren Gründen eine Strafe in 
Höhe von 100 Millionen Euro gegen 
Google, die der Conseil d’Etat im Janu- 
ar 2022 abschließend bestätigte. Auch 
Facebook musste in Frankreich schon 
60 Millionen wegen Opt-in-Problemen 
zahlen (Krempl, Cookie-Einwilligung: 
Microsoft muss 60 Millionen Euro 
in Frankreich zahlen, www.heise.de 
22.12.2022, Kurzlink: https://heise. 
de/-7441411). 


EU/USA 


Microsoft passt DS-Regeln 
an 


Mit Datum vom 01.01.2023 hat Mi- 
crosoft eine überarbeitete Version sei- 
nes Auftragsverarbeitungsvertrags mit 
einem „Microsoft Products and Services 
Data Protection Addendum“” (DPA) ver- 
öffentlicht, mit dem der US-Konzern 
das Versprechen einer bereits Mitte 
2021 angekündigten „EU-Datengrenze” 
offiziell umsetzt. Ziel ist es Transfers 
persönlicher Informationen von Kun- 
den aus der EU in die USA möglichst zu 
vermeiden, nachdem der Europäische 
Gerichtshof (EuGH) den Privacy Shield 
gekippt hatte. 

Im DPA heißt es: „Bei Online-Diensten 
mit EU-Datengrenze speichert und ver- 
arbeitet Microsoft die Kundendaten in- 
nerhalb der Europäischen Union, wie in 
den Produktbedingungen festgelegt.” 
Wie weit diese Formulierung trägt, ist 
offen. Der US-Kongress hatte 2018 ei- 


nen „Cloud Act” verabschiedet, der 
regelt, wie die Kooperation zwischen 
US-Strafverfolgungsbehörden und aus- 
ländischen Partnern und damit der Zu- 
griff auf Daten ablaufen soll, die sich 
auf Servern außerhalb des eigenen Ter- 
ritoriums befinden. Für die Details sind 
bilaterale Abkommen vorgesehen. 

Die EU-Gesetzgebungsgremien einig- 
ten sich im Juni 2022 prinzipiell auf 
eine gemeinsame Linie zur geplanten E- 
Evidence-Verordnung mit einschlägigen 
Rahmenbedingungen inklusive einiger 
Schutzklauseln, die auch für US-Anfra- 
gen gelten sollen. Der EuGH stellte bis- 
lang mehrfach fest, dass US-Gesetze wie 
der Foreign Intelligence Surveillance 
Act (FISA) oder der Cloud Act eine Mas- 
senüberwachung durch Sicherheits- 
behörden ermöglichen und der Daten- 
schutzstandard in den USA daher nicht 
dem in der EU entspricht. 

In einem Anhang zu dem Nachtrag 
sichert Microsoft ferner explizit zu „die 
Rechenschaftspflichten des Kunden” 
nach der Datenschutz-Grundverord- 
nung (DSGVO) zu unterstützen und die 
dafür nötige Produktdokumentation 
zur Verfügung zu stellen. Dies gelte für 
die gesamte Laufzeit des Abonnements 
des Kunden oder des entsprechenden 
Dienstleistungsauftrags. Nutzende soll- 
ten so leichter nachweisen können, dass 
sie etwa das Office-Paket Microsoft 365 
datenschutzkonform einsetzen, erläu- 
tert der Rechtsanwalt Stefan Hessel von 
der Kanzlei Reuschlaw in einem Beitrag 
auf Microsofts Social-Media-Netzwerk 
LinkedIn. Dies ist höchst umstritten: 
Die Konferenz der unabhängigen Da- 
tenschutzaufsichtsbehörden des Bun- 
des und der Länder (DSK) unterstrich 
im November 2022, dass Einrichtungen 
wie Ämter, Schulen und Unternehmen 
die Suite für Büroanwendungen mit 
Cloud-Anschluss ohne Weiteres „nicht 
rechtskonform einsetzen” könnten. 
Sie müssten auf jeden Fall zusätzliche 
Schutzvorkehrungen treffen. 

Microsoft und industrienahe Juristen 
wiesen die Bewertung der DSK brüsk 
zurück. Für manche dieser Beobachter 
drängte sich sogar die Frage auf, „ob die 
DSK rechtsstaatliche Grundsätze ein- 
hält”. Eine behördliche Stellungnahme, 
in der Microsoft 365 letztlich als rechts- 
widrig bewertet werde, kommt einer 
Produktwarnung mit massiven Folgen 
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für Unternehmen gleich. Die Kritiker 
meinten, die Aufsichtsbehörden hätten 
„wichtige Meilensteine in puncto Dritt- 
staatentransfer” wie den angekündig- 
ten neuen EU-US-Rahmen oder die EU- 
Datengrenze abwarten sollen. 

Aus Kreisen der Datenschutzbeauf- 
tragten ist dagegen zu hören, dass 
beide Seiten 14 mehrstündige Video- 
konferenzen mit Microsoft zuzüglich 
Vor- und Nachbereitung durchgeführt 
haben und die bisherigen Zusicherun- 
gen bis ins Detail untersucht worden 
sind. Microsoft habe sich dabei beharr- 
lich geweigert alle Verarbeitungen zu 
beschreiben. Dies lege nahe, dass viele 
davon ohne Rechtsgrundlage erfolgten. 

Für personenbezogene Daten, die 
Microsoft als Anbieter von Telekom- 
munikationsdiensten verarbeitet und 
die so nicht unter die DSGVO fallen, 
stellt das Unternehmen zudem mit dem 
taufrischen DPA klar, dass es einschlä- 
gige gesetzliche Schutzvorgaben wie 
hierzulande das Fernmeldegeheimnis 
zu beachten gedenke: „Microsoft wird 
alle telekommunikationsspezifischen 
Gesetze und Vorschriften einhalten, 
die für die Bereitstellung der Produk- 
te und Dienste gelten.” Dies umfasse 
auch eine Benachrichtigung über Si- 
cherheitsverletzungen und Datenpan- 
nen. Der Konzern hebt ferner hervor, 
dass auch die technischen und orga- 
nisatorischen Schutzmaßnahmen aus 
den Standardvertragsklauseln (SVK) 
zwischen Microsofts europäischem 
Hauptsitz Irland und den Niederlas- 
sungen in den USA zum Einsatz kämen. 
Die Datenschutzergänzung gilt zudem 
nicht mehr nur für Kunden mit Volu- 
menlizenzverträgen, sondern für alle 
mit einem bestehenden Produkt- und 
Dienstleistungsvertrag. Die neuen SVK 
der EU hatte das Unternehmen bereits 
bei der vorausgegangenen DPA-Ände- 
rung im September 2022 übernommen. 
Hessel rät Verantwortlichen sich unab- 
hängig davon, ob der Nachtrag die Auf- 
sichtsbehörden überzeuge, „um einen 
Abschluss des neuen DPA” zu bemühen 
und die Klauseln in ihrer Datenschutz- 
dokumentation zu berücksichtigen 
(Krempl, Datenschutzergänzung: Mi- 
crosoft setzt „EU-Datengrenze“ um, 
www.heise.de 03.01.2023, Updated 
04.01.2023, Kurzlink: https://heise. 
de/-7447136). 
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Italien 


DSGVO-Bußgeld gegen 
Clubhouse-Betreiber 


Die italienische Datenschutzbehör- 
de, die Garante per la protezione dei 
dati personali, hat bei der Social-Me- 
dia-App Clubhouse eine ganze Palette 
an Verletzungen der Privatsphäre der 
Nutzer festgestellt und dem US-Anbie- 
ter der Audiochat-App Alpha Explorati- 
on ein Bußgeld in Höhe von 2 Millionen 
Euro auferlegt. Clubhouse hatte sich 
vor allem während der ersten Phase der 
Corona-Pandemie als Online-Treffpunkt 
für den Austausch von Sprachnach- 
richten beliebt gemacht. Der anfängli- 
che Hype rund um die App erlosch aber 
bald wieder. 

Die Garante stellte bei ihren 2021 
aufgenommenen Untersuchungen nach 
eigenen Angaben „zahlreiche Verstöße” 
gegen die Datenschutz-Grundverord- 
nung (DSGVO) bei Clubhouse fest. Diese 
reichen von mangelnder Transparenz bei 
der Verwendung der Daten von Nutzern 
und ihren „Freunden“ über die Möglich- 
keit für User Audionachrichten ohne 
die Zustimmung der registrierten Per- 
sonen zu speichern und weiterzugeben, 
bis zur Profilerstellung und Weitergabe 
von Kontoinformationen ohne Angabe 
einer angemessenen Rechtsgrundlage. 
Zudem moniert die Aufsichtsinstanz 
„unbefristete Aufbewahrungsfristen” 
für die von dem Betreiber des sozialen 
Netzwerks erstellten Aufzeichnungen. 
Alpha Exploration hatte diese damit be- 
gründet etwaigen Missbräuchen begeg- 
nen zu wollen. Die Garante untersagte 
dem Unternehmen zudem jede weitere 
Verarbeitung gesammelter Daten zu 
Marketing- und Profilingzwecken ohne 
ausdrückliche Zustimmung der Be- 
troffenen. Die App hatte 2021 über 16 
Millionen Nutzende weltweit und etwa 
90.000 in Italien. 

Ergänzend ordneten die Kontrolleure 
eine Reihe von Auflagen für den wei- 
teren Clubhouse-Betrieb an. So muss 
Alpha Exploration die Nutzerinnen und 
Nutzer genauer darüber informieren, 
auf welcher Rechtsbasis Daten verarbei- 
tet werden, und welche Speicherfristen 
für personenbezogene Informationen 
und Audiodateien gelten. Die Firma 
muss zudem einen klar ersichtlichen 


Rechtsvertreter im Einklang mit der DS- 
GVO für EU-Bürger angeben. Die Garante 
hat Alpha Exploration ferner dazu ver- 
pflichtet eine Datenschutz-Folgenab- 
schätzung für die über die Clubhouse- 
Plattform durchgeführte Datenverarbei- 
tung durchzuführen. 

Auch deutsche Datenschutzaufsichts- 
behörden nahmen die Anwendung früh- 
zeitig in den Blick. Sie sahen vor allem 
das Auslesen von Adressbüchern sowie 
Audiomitschnitte skeptisch. Die Ham- 
burgische Datenschutzbehörde nahm im 
Februar 2021 Ermittlungen gegen Alpha 
Exploration auf. Ein Sprecher teilte mit, 
dass es zuletzt 2021 ein Gespräch mit ei- 
ner von Clubhouse beauftragten Kanzlei 
gegeben habe. Diese habe dabei versi- 
chert, dass die Datenschutzerklärung 
von Clubhouse noch DSGVO-konform 
überarbeitet und ein europäischer An- 
sprechpartner benannt werde. Dieser 
Vertreter sitze inzwischen in Irland. Da 
es aber weiterhin keine Niederlassung 
der Betreiberfirma in der EU gebe, blei- 
be jede Datenschutzaufsichtsbehörde 
in Europa in ihrem Bereich zuständig. 
Vonseiten anderer deutscher Aufsichts- 
behörden seien aktuell keine weiteren 
Aktivitäten oder Ermittlungen bekannt. 
Die französische Aufsichtsbehörde CNIL 
fühlt dem Unternehmen noch auf den 
Zahn. Die Anwendung sorgte auch we- 
gen Sicherheitslücken und Datentrans- 
fers nach China für Schlagzeilen (Krem- 
pl, Clubhouse: Datenschützer verhän- 
gen Millionen-Strafe gegen Talk-App, 
www.heise.de 05.12.2022, Kurzlink: 
https://heise.de/-7366958). 


Großbritannien 


MI5 unterliegt Bürger- 
rechtsorganisationen we- 
gen Datenspeicherung 


Auf die Klage der Bürgerrechtsorga- 
nisationen Liberty und Privacy Interna- 
tional (PI) hat das Investigatory Powers 
Tribunal (IPT), das für die Kontrolle der 
britischen Sicherheitsbehörden zustän- 
dig ist, mit Datum vom 30.01.2023 ge- 
richtlich festgestellt, dass der britische 
Inlandsgeheimdienst MI5 zwischen 2014 
und 2019 wissentlich große Mengen per- 
sonenbezogener Kommunikationsdaten 
rechtswidrig gespeichert hat. Die Anfor- 
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derungen an die ordnungsgemäße Auf- 
bewahrung, Überprüfung und Löschung 
wurden verletzt. Die Systeme hätten 
eine automatische Löschung nach der 
gesetzlich erlaubten Speicherfrist vorse- 
hen müssen, was aber nicht der Fall war. 
Von dieser Praxis dürften Millionen Men- 
schen betroffen gewesen sein. 

Gemäß dem Urteil auf die 2020 einge- 
reichte Klage gab es schon seit 2014 auf 
höchster Ebene des MI5 „sehr schwer- 
wiegende Versäumnisse” beim Einhal- 
ten der Datenschutzbestimmungen. 
Mehrere aufeinanderfolgende britische 
Innenminister hätten diese langjähri- 
gen Regelverstöße trotz offensichtli- 
cher Warnsignale nicht untersucht oder 
behoben. Die vom Innenressort ausge- 
stellten Überwachungsanordnungen 
waren demnach unrechtmäßig. Sie er- 
füllten nicht die Schutzanforderungen 
aus den ohnehin wenig datenschutz- 
freundlichen Regulation of Investigato- 
ry Powers Act von 2000 (RIPA) und In- 
vestigatory Powers Act von 2016 (IPA). 

Der MI5 hatte laut dem Urteil pflicht- 
widrig das Innenministerium nicht 
„vollständig und offen“ bei Anträgen 
zur Durchführung von Überwachungs- 
maßnahmen über potenzielle Vorbehalte 
informiert. Er habe erst 2016 - also mit 
rund drei Jahren Verspätung - einge- 
räumt sich „eines sehr hohen Risikos 
bewusst” gewesen zu sein gegen die ge- 
setzlichen Auflagen zu verstoßen. Das 
Innenressort versäumte es seiner Rolle 
als Aufsichtsinstanz gerecht zu werden. 
Da die Anordnungen, auf deren Basis der 
MI5 in das Recht auf Privatsphäre eingriff 
und massenhaft teils sensible persönli- 
che Daten sammelte, nicht im Einklang 
mit dem Gesetz standen, verstießen sie 
auch gegen Artikel 8 der Europäischen 
Menschenrechtskonvention. 

Megan Goulding, Anwältin bei Liber- 
ty, meinte, das Urteil zeige, „dass die 
sogenannten Sicherheitsvorkehrungen 
völlig unwirksam sind, wenn es darum 
geht unsere Rechte zu schützen und die 
Machthaber zur Rechenschaft zu zie- 
hen.” Die Regierung müsse nun rasch 
Einschränkungen schaffen, die die Pri- 
vatsphäre der Bürger tatsächlich schüt- 
zen. Die juristische Leiterin bei PI, Ca- 
roline Wilson Palow, ergänzte, es sei un- 
demokratisch und gefährlich „dem MI5 
einen Freifahrtschein zu geben”. Die 
Bürgerrechtler hoffen, dass das IPT an- 
gesichts der erkannten Verstöße ein an- 
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deres Verfahren wieder eröffnet, in dem 
sie gegen die Massenüberwachungs- 
befugnisse des MI5 klagten. Auch dort 
habe der Geheimdienst Beweise nicht 
offengelegt, obwohl er dazu verpflichtet 
gewesen wäre (Krempl, Britischer Ge- 
heimdienst MI5 hat massenhaft Daten 
rechtswidrig gespeichert, www.heise. 
de 30.01.2023, Kurzlink: https://heise. 
de/-7476520). 


Israel 


„Toka” liefert manipulie- 
rende Überwachungstech- 
nologie 


Die Technik der israelischen Startup- 
Firma Toka ermöglicht es auf vernetzte 
Videokameras zuzugreifen und Über- 
tragungen live oder im Nachgang zu 
verändern, was dazu führen kann, dass 
der Beweiswert von Videomaterial ver- 
loren geht. Toka ermöglicht es Sicher- 
heitskameras und Webcams in einem 
bestimmten Umkreis zu lokalisieren, sie 
zu hacken und Übertragungen nicht nur 
zu verfolgen, sondern zu verändern. Ge- 
mäß einem israelischen Pressebericht 
ist es mit der Software von Toka möglich 
frühere Aufzeichnungen auszulesen. 
Ein „Zielgebiet” lasse sich überwachen, 
Kamera-Feeds könnten gestreamt und 
gesteuert werden. Die Anwendung befä- 
hige Nutzer auch dazu Autos ins Visier 
zu nehmen, um per Funk Zugang zu er- 
halten und „Fahrzeugforensik und -in- 
telligenz” zu betreiben, also etwa den 
Kfz-Standort zu ermitteln. 

Toka bündelt ausgewerteten Doku- 
menten zufolge diverse Dienste. Kunden 
seien so in der Lage visuelle Informatio- 
nen aus „Live- oder aufgezeichneten Vi- 
deos” zu sammeln. Sie könnten zudem 
Feeds von „Audio- und visuellen” Auf- 
nahmen manipulieren, um etwa bei ver- 
deckten Operationen „Aktivitäten vor 
Ort zu verschleiern“”. Den Israelis geht es 
dabei u.a. darum die Scharte auszuwet- 
zen, dass die Polizei in Dubai nach dem 
Mord an einem Hamas-Kontaktmann 
2010 stundenlanges Videomaterial aus 
einer Kamera zusammensetzen und 30 
Mossad-Attentäter enthüllen konnte. 

Das Unternehmen gründete der isra- 
elische Ex-Premierminister Ehud Barak 
2018 zusammen mit dem früheren Cy- 
berchef der israelischen Streitkräfte, 


General a.D. Yaron Rosen. Die zwei zu- 
sätzlichen Geschäftsführer Alon Kantor 
und Kfir Waldman stammen aus dem Be- 
reich Cyberverteidigung. Wagniskapital 
kommt unter anderem von der US-Firma 
Andreessen Horowitz, an der das Inter- 
net-Urgestein Marc Andreessen beteiligt 
ist. Angeblich werden die Tätigkeiten 
von Toka durch das israelische Verteidi- 
gungsministerium streng reguliert. 

Die Firma profiliert sich neben ande- 
ren israelischen Spyware-Exporteuren 
wie der NSO Group oder Candiru. Sie un- 
terhält Büros in Tel Avivund Washington 
und soll ausschließlich mit staatlichen 
Kunden in Regierungen, Geheimdiens- 
ten und Strafverfolgungsbehörden vor 
allem im Westen zusammenarbeiten und 
auch bereits Kontakte nach Deutsch- 
land geknüpft haben. Allein mit Israel 
bestehen dem Bericht nach seit 2021 
Verträge im Wert von 6 Millionen US- 
Dollar; eine „Ausweitung des bestehen- 
den Einsatzes” sei geplant. 

Toka reklamiert für sich selbst „bisher 
unerreichbare Fähigkeiten”, die unge- 
nutzte Sensoren im notorisch unsiche- 
ren Internet of Things (IoT) „in Infor- 
mationsquellen umwandeln” und diese 
so „fürnachrichtendienstliche und ope- 
rative Zwecke” genutzt werden können. 
Donncha Ö Cearbhaill aus dem Security 
Lab von Amnesty Internationalin Berlin 
erklärte, dass vor allem Bluetooth- und 
WLAN-Schnittstellen oft Softwarefeh- 
ler enthielten, die IoT-Geräte zu einem 
gefundenen Fressen für Hacker mach- 
ten. Seien die Angreifer erst einmal in 
ein Netzwerk eingedrungen, könnten 
sie sich darin ausbreiten. Selbst eine 
„smarte” Glühbirne reiche aus, um ein 
WLAN-Passwort zu ergattern. 

Der israelische Menschenrechtsan- 
walt Alon Sapir nannte die „Fähigkei- 
ten, die früher unvorstellbar waren 

. eine dystopische Technologie”, die 
ernste Fragen aufwerfe. So könnten 
Videos manipuliert werden, „um un- 
schuldige Bürger zu belasten oder dem 
System nahestehende Schuldige zu 
schützen“. In Rechtsstaaten seien sol- 
che fingierten Aufzeichnungen nicht 
gerichtsfest (Krempl, „Dystopische 
Technologie”: Startup hackt und mani- 
puliert Überwachungskameras, www. 
heise.de 30.12.2022, Kurzlink: https:// 
heise.de/-7444676). 
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USA 


400-Mio. Dollar Strafe für 
Google wegen Werbeortung 


Google sammelte jahrelang die Auf- 
enthaltsdaten von Betroffenen für Wer- 
bezwecke, obwohl diese die Speiche- 
rung der Aufenthaltsorte ihres Android- 
Handys sowie iPhones mit Google Maps 
(„Location History“) deaktiviert hatten. 
2018 deckte dies der Journalist Ryan 
Nakashima von der Associated Press 
(AP) auf. Einige US-Staaten verklagten 
Google. Eine Gruppe von 40 Staaten 
setzte auf außergerichtliche Verhand- 
lungen. Ihr Ergebnis ist eine Vergleichs- 
zahlung von 391,5 Millionen US-Dollar 
(rund 378 Millionen Euro). 

Geleitet wurden die Untersuchungen 
und Verhandlungen von den Justiz- 
ministern Nebraskas, Doug Peterson 
(Republikaner), und Oregons, Ellen 
Rosenblum (Demokratin). Für die ist 
der Vergleich „historisch“. Es sei der 
„größte, von US-Justizministern ange- 
führte Vergleich im Bereich Verbrau- 
cherdatenschutz der Geschichte”. Die 
Vereinigten Staaten von Amerika haben 
bisher kein umfassendes Datenschutz- 
gesetz. Es gibt lediglich Spezialgesetze 
z.B. für die Daten Minderjähriger oder 
Gesundheitsdaten. Die auf 40 Staaten 
aufgeteilten 400 Millionen Dollar sind 
nicht unbedingt viel: 2020 hat Arizona 
geklagt (Arizona v. Google, Arizona Sup. 
Ct., Az. CV2020-006219) und allein für 
sich die Einstellung der Datenschutz- 
klage im Oktober 2022 von Google mit 
85 Millionen Dollar abgelten lassen, also 
annähernd zwölf Dollar je Einwohner. 

Der Vergleich mit den 40 Staaten 
kommt das Unternehmen vergleichs- 
weise billiger. Oregon gibt an, 14,8 Mil- 
lionen Dollar zu erhalten, auf Nebraska 
entfallen 11,9 Millionen. Das entspricht 
knapp 3,50 Dollar respektive 5,95 Dol- 
lar je Einwohner. Diese Summen fallen 
aber nur deshalb so „hoch“ aus, weil 
Nebraska und Oregon den Aufwand für 
Untersuchung und Verhandlungen ab- 
gegolten erhalten. Maryland beispiels- 
weise erhält gerade einmal 1,40 Dollarje 
Einwohner. 

In dem Vergleich verpflichtet sich 
Google dazu bei Aus- oder Einschal- 
tung der Location History zusätzliche 
Informationen anzuzeigen, wichtige 
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Information nicht zu verstecken und 
Nutzern jedenfalls anzuzeigen sowie 
generell mehr Auskunft über die Arten 
der Aufenthaltsdaten, die es sammelt, 
zu veröffentlichen. Kern des Problems 
ist, dass die Abschaltung der Location 
History alleine nicht reichte. Nutzer 
sollten auch die „Web & App Activity” 
deaktivieren. Denn auch diese Daten er- 
lauben es Google wertvolle Bewegungs- 
profile zusammenzustellen. Nicht mit 
von der Vergleichspartie sind unter an- 
derem Indiana, Texas, Washington und 
der Hauptstadtbezirk District of Colum- 
bia. Diese vier Staaten haben Anfang 
des Jahres Klagen gegen Google erho- 
ben (Sokolov, Google muss für Ortungs- 
Schwindel nicht einmal 400 Millionen 
zahlen, www.heise.de 1411.2022, Kurz- 
link: https://heise.de/-7340069). 


USA 


Gesichtserkennung 
bringt Mann fälschlich ins 
Gefängnis 


Im US-Bundesstaat Georgia war der 
28-jährige Randal Reid im November 
2022 eine Woche lang inhaftiert, weiler 
per Gesichtserkennung mit einem Dieb 
zwei Bundesstaaten entfernt verwech- 
selt wurde. Gemäß den Angaben seines 
Anwalts Tommy Calogero wurde der 
Schwarze auf der Fahrt mit seiner Mut- 
ter zum Thanksgiving-Essen in Georgia 
herausgewunken und darüber infor- 
miert, dass gegen ihn ein Haftbefehl der 
Gemeinde Jefferson Parish in Louisiana 
vorliege. Vom 25.11. bis zum 01.12. sei 
er dann im Gefängnis gewesen. Dann 
hätten die Verantwortlichen in Louisia- 
na eingestanden, dass er nicht der Ge- 
suchte sei. In den USA ist es nicht der 
erste derartige Fehler. 

Gemäß dem Bericht wurde die Ge- 
sichtserkennung bei den Ermittlungen 
zum Diebstahl von wertvollen Designer- 
taschen der Luxusmarken Chanel und 
Louis Vuitton im Wert von 10.000 US- 
Dollar eingesetzt. 

Welche Software eingesetzt wurde, 
geht daraus nicht hervor. Die Polizei in 
dem Bundesstaat nutzte in der Vergan- 
genheit offenbar Produkte des franzö- 
sischen Unternehmens Idemia und der 
Firma Clearview AI. Jedenfalls spuckte 


die Software den Namen des Mannes 
in Georgia aus, obwohl die Ähnlichkeit 
gering war: So sei dieser etwa 20 kg 
leichter als der von den Überwachungs- 
kameras aufgezeichnete Dieb und habe 
außerdem ein markantes Muttermal im 
Gesicht, das dem Dieb fehlt. Vor allem 
habe der aber „schwabbelige” Arme ge- 
habt, der Festgenommene nicht. Der 
sagte: „Ich war noch nie in meinem 
Leben in Louisiana und ich stehle auch 
nicht.” Der Fehler sei schließlich „still- 
schweigend” eingestanden worden, so 
das Zitat über den Anwalt: „Ich denke, 
sie haben gemerkt, dass sie sich mit der 
Festnahme auf Basis meines Gesichts zu 
weit aus dem Fenster gelehnt haben.” 
Die Polizeibehörden hätten sich zu dem 
Vorfall nicht geäußert. Offenbar set- 
zen viele Polizeibehörden nach einer 
Zurückdrängung von Gesichtserken- 
nungstechnik wieder stärker darauf, 
weil die Zahl der Straftaten gestiegen 
ist. In New Orleans müssten alle po- 
tenziellen Funde eigentlich überprüft 
werden, es ist unbekannt, ob das hier 
geschehen ist. 

Der Fall zeigt die mit der Technik ver- 
bundenen Risiken. Es ist nicht das erste 
Mal, dass jemand wegen eines fälschli- 
chen Treffers im Gefängnis landet. An- 
fang 2020 musste in New York ein Mann 
30 Stunden in Haft verbringen, bevor er 
gegen Kaution zu seiner Familie konn- 
te. Es folgten weitere Fälle; immer wa- 
ren schwarze Menschen betroffen. Auch 
deshalb wird oft darauf hingewiesen, 
dass die benutzten Algorithmen zur Ge- 
sichtserkennung bei ihnen schlechter 
funktionieren und deshalb Diskriminie- 
rung verfestigen können (Holland, Feh- 
ler bei Gesichtserkennung: Mann sitztin 
den USA eine Woche im Gefängnis, www. 
heise.de 05.01.2023, Kurzlink: https:// 
heise.de/-7449887; Schwarzer wegen 
Softwarefehler offenbar fast eine Woche 
inhaftiert, www.spiegel.de 05.01.2023). 


USA 
No-Fly-Liste als Zufallsfund 


Nach den Terroranschlägen vom 
11.09.2001 führte das „Terrorist Scree- 
ning Center” der US-Bundespolizeibe- 
hörde FBI zentrale Listen von Personen 
ein, die als Sicherheitsrisiko oder Ter- 
rorverdächtige eingeschätzt werden. 


33 


Diese Personen müssen bei jedem Flug 
eine erweiterte Sicherheitskontrolle 
erdulden oder dürfen das Flugzeug gar 
nicht erst betreten. Eine solche geheime 
Liste ist der Schweizer Hackerin „Maia 
Arson Crimew”, die unter anderem an 
dem Verkada-Hack beteiligt war, in die 
Hände gefallen, die sie unter dem Na- 
men „Nofly.csv“ auf einem ungesicher- 
ten Testserver der US-Fluggesellschaft 
CommuteAir mit einem Umfang von 80 
MByte fand. Die Liste enthält rund 1,5 
Millionen Namen, überwiegend aus dem 
arabischen oder nahöstlichen Umfeld; 
es finden sich auch zahlreiche slawisch 
und spanische klingende Namen darun- 
ter. Mutmaßliche Mitglieder der nordiri- 
schen Terrorgruppe IRA sollen ebenfalls 
auf der Liste stehen. 

Die Hackerin geht davon aus, dass es 
sich um die authentische Flugverbots- 
liste handelt. Die Daten stammen aus 
dem Jahr 2019 und wurden von der be- 
troffenen Fluggesellschaft CommuteAir 
geschwärzt und enthalten nur Namen 
und Geburtsdaten der Personen. 

Die Fluggesellschaft bestätigte den 
Zwischenfall und nahm den Server noch 
vor der Veröffentlichung offline. Com- 
muteAir informierte die für den Flug- 
verkehr zuständige Sicherheitsbehörde, 
die Transportation Security Administra- 
tion. Die Hackerin berichtete auf ihrem 
Blog, dass sie aus Langeweile mit der 
Computer-Suchmaschine Zoomeye her- 
umgestöbert habe und dabeiaufden un- 
gesicherten Testserver von CommuteAir 
gestoßen sei, auf dem die Automation- 
Software Jenkins lief. Nachrichten des 
Aircraft Communications Addressing 
and Reporting System (ACARS) hätten 
ihr Interesse geweckt, sodass sie ge- 
nauer nachgeforscht habe was auf dem 
Server zu finden sei. Neben Anmeldein- 
formationen zu diversen Amazon-AWS- 
Instanzen der Fluglinie fand Crimew auf 
dem Server auch mehrere Namenslisten: 
employee_information.csv, nofly.csv 
und selectee.csv. Bei Letzterer handelt 
es sich laut der Hackerin um eine Liste 
von Personen, die bei jedem Flug um- 
fangreiche Sicherheitskontrollen erdul- 
den müssen. 

Crimew teilte mit, dass sie die Daten 
Personenkreisen zugänglich macht, 
die ein berechtigtes Interesse daran 
hätten. Ihr sei bewusst, dass die Listen 
vertrauliche Informationen enthalten, 
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sie glaube jedoch, dass es „in öffentli- 
chem Interesse liegt diese Liste Jour- 
nalisten und Menschenrechtsorgani- 
sationen zur Verfügung zu stellen”. 
Im August 2021 hatte der ukrainische 
Sicherheitsforscher Wolodymyr Djat- 
schenko ebenfalls eine - vermutlich 
sogar aktuellere - Liste von Personen 
gefunden, die die USA als Sicherheits- 
risiko einstufen. Damals war eine Da- 
tenbank für jedermann frei auf einem 
Elasticsearch-Cluster mit bahrainischer 
IP-Adresse zugänglich und enthielt 
nicht nur die Namen von 1,9 Millionen 
Personen, sondern unter anderem auch 
deren Staatsbürgerschaft, Geschlecht, 
Geburtsdatum, die Reisepassnummer 
und den „No Fly”-Status. 

Der Umfang der „No Fly“-Liste hat 
massiv zugenommen. Im Jahr 2006 
sollen sich lediglich 44.000 Menschen 
darauf befunden haben. Die USA haben 
aber nicht nur gegen Einzelpersonen 
Flug- und Einreiseverbote verhängt: Die 
Trump-Regierung hatte 2017 aus Grün- 
den der „nationalen Sicherheit” mehr- 
heitlich den Einwohnern muslimischer 
Staaten sowie Nordkoreas und Venezu- 
elas die Einreise in die USA untersagt 
(Zota, Hackerin findet „No Fly List” der 
US-Regierung auf Testserver einer Flug- 
linie, www.heise.de 22.01.2023, Kurz- 
link: https://heise.de/-7467140). 


USA 


Gesichtserkennung verhin- 
dert Musical-Besuch 


Eine Rechtsanwältin in New York wur- 
de per Gesichtserkennung identifiziert 
und aus einem Musical geworfen. Die 
Generalstaatsanwältin Letitia James 
hat wegen dieses Vorgangs der Madison 
Square Garden Entertainment Corpora- 
tion (MSG) eine Reihe von Fragen ge- 
stellt, weil die Praxis gegen lokale und 
bundesweite Gesetze verstoßen haben 
könnte. Niemand dürfe bei bestimmten 
geschützten Aktivitäten diskriminiert 
werden; auch Vergeltung sei untersagt. 
MSG verteidigte sein Vorgehen und wies 
die Vorwürfe zurück. 

Die Anwältin wollte Ende 2022 mit 
ihrer neunjährigen Tochter ein Weih- 
nachtsmusical besuchen, das in der Ra- 
dio City Music Hall im New Yorker Stadt- 


teil Manhattan aufgeführt wurde, die 
von MSG geleitet wird. Deren Chef hatte 
zuvor ein Hausverbot für alle gegen das 
Unternehmen prozessierenden Anwalts- 
kanzleien erteilt. Betroffen sind auch 
Anwälte und Anwältinnen, die nicht mit 
den Fällen betraut sind. Das Hausverbot 
bezieht sich auf alle Veranstaltungsor- 
te. Die 44-jährige Frau war per Gesichts- 
erkennungssoftware identifiziert und 
dann am Betreten der Veranstaltung 
gehindert worden. Gegen MSG hat sie 
angeblich nie prozessiert. 

MSG widerspricht der Darstellung der 
Vorkommnisse nicht und versichert, 
dass es bei dem Vorgehen nicht darum 
gehe jemanden davon abzuhalten geg- 
nerische Parteien vor Gericht zu ver- 
treten: „Wir schließen lediglich einen 
kleinen Prozentsatz von Anwälten und 
Anwältinnen aus, während die Gerichts- 
verfahren laufen.” Ob sich die General- 
staatsanwaltschaft davon überzeugen 
lässt, ist offen. Generalanwältin James 
meinte: „MSG Entertainment kann sei- 
ne rechtlichen Schlachten nicht in den 
eigenen Arenen ausfechten.“ Jeder 
und jede mit Ticket müsse eingelassen 
werden und dürfe nicht wegen seiner 
Erscheinung ausgeschlossen werden. 
Sie fordert MSG auf die Praxis zu än- 
dern (Holland, Per Gesichtserkennung 
identifiziert: Rauswurf aus Musical 
könnte Nachspiel haben, www.heise.de 
27.01.2023, Kurzlink: https://heise. 
de/-7473472). 


USA 


Unternehmen vermeiden 
gezielt Aufmerksamkeit für 
Verlust sensibler Daten 


Eine Studie von Jens Förderer, Pro- 
fessor für Innovation und Digitalisie- 
rung an der Technischen Universität 
München (TUM), und Sebastian Schütz, 
Professor für Wirtschaftsinformatik der 
Florida International University, zeigt 
am Beispiel von börsennotierten US- 
Firmen, dass Unternehmen Datenlecks 
bevorzugt an Tagen melden, an denen 
andere Nachrichten die Schlagzeilen in 
den Medien dominieren. Damit vermei- 
den sie stärkere Kursverluste am Akti- 
enmarkt und riskieren größere Schäden 
bei den Betroffenen. 
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Jedes Jahr gelangen Unbefugte durch 
Hacking oder Datenpannen von Un- 
ternehmen an persönliche Informati- 
onen von Millionen Menschen, etwa 
an Passwörter, Kreditkartendaten oder 
Gesundheitsinformationen. Die Folgen 
für die Betroffenen können verheerend 
sein, von finanziellen Schäden bis hin 
zu Identitätsdiebstahl. Um ihre Kunden 
davor zu schützen, sind Firmen in vielen 
Ländern, so auch in den USA, gesetzlich 
verpflichtet den Vorgang den Aufsichts- 
behörden zu melden und die Kunden zu 
informieren, wodurch die Lecks meist 
auch öffentlich werden. 

In solchen Situationen ist eigentlich 
Eile geboten, um eine Verbreitung und 
möglichen Missbrauch der Daten ein- 
zudämmen. Allerdings bieten Gesetze 
den Unternehmen zeitliche Freiräume. 
In der EU muss jedes Datenleck, das zu 
einem Risiko für betroffene Personen 
führen kann, innerhalb von 72 Stunden 
gemeldet werden. In den USA variieren 
die Meldefristen je nach Bundesstaat 
zwischen 30 und 90 Tagen. 

Als sich die Wissenschaftler mit sol- 
chen Vorfällen beschäftigten, wunder- 
ten sie sich, dass die Veröffentlichung 
der Datenverluste relativ geringe Fol- 
gen für den Aktienkurs der Unterneh- 
men hatte, so Jens Förderer: „Das hat 
uns überrascht, da Datenlecks für die 
Firmen ja einen Imageverlust und ein 
sinkendes Kund:innen-Vertrauen be- 
deuten, was ihren Wert am Aktienmarkt 
eigentlich stark belasten sollte. Unsere 
Hypothese war, dass die Aufmerksam- 
keit der Anleger:innen abgelenkt war.” 

Die Forscher identifizierten den Zeit- 
punkt der Veröffentlichung von mehr 
als 8.000 Datenlecks börsennotierter 
US-amerikanischer Unternehmen zwi- 
schen 2008 und 2018, wobei sie Infor- 
mationen der Non-Profit-Organisation 
Identity Theft Ressource Center (ITRC) 
nutzten. Dann glichen sie die Zeitpunk- 
te mit Tagen ab, an denen viele Firmen 
ihre Quartalszahlen vorstellten - also 
Tagen, von denen im Voraus klar war, 
dass eine Vielzahl an marktrelevanten 
Informationen publik werden würde. 
Dafür werteten sie das „Wall Street Jour- 
nal“ aus, die größte Wirtschaftszeitung 
der USA. 

Die Studie bestätigte, dass an Ta- 
gen, an denen andere Meldungen die 
Schlagzeilen dominierten, signifikant 


DANA ® Datenschutz Nachrichten 1/2023 


mehr Datenlecks veröffentlicht wurden. 
Besonders deutlich war der Zusammen- 
hang zwischen Nachrichtenlage und 
Veröffentlichungstag bei schwerwie- 
genden Datenverlusten, bei Pannen mit 
Firmen-internen Ursachen und wenn 
Gesundheitsinformationen oder Aus- 
weisdaten betroffen waren: „An hekti- 
schen Tagen müssen sowohl Redaktio- 
nen als auch Analyst:innen Prioritäten 
setzen, welche Informationen sie auf- 
greifen. Unsere Ergebnisse legen nahe, 
dass Unternehmen die Bekanntgabe 
ihrer Datenlecks strategisch planen und 
gezielt auf eine geringere Aufmerksam- 
keit setzen.” 

Die Forscher wollten zudem wissen, ob 
das Kalkül der Unternehmen aufgeht. 
Dafür untersuchten sie die Aktienkurse 
der Firmen nach der Bekanntgabe der 
Datenverluste. Sie stellten fest, dass 
die Unternehmen im Durchschnitt ei- 
nen Kursverlust verzeichnen mussten, 
der aber an Nachrichten-starken Tagen 
deutlich geringer ausfiel, so Sebastian 
Schütz: „Unternehmen, die ihre Fehler 
im Umgang mit Daten im Schatten an- 
derer Ereignisse verstecken, vermeiden 
so auch den öffentlichen Druck, dass 
sie selbst und andere Firmen stärkere 
Maßnahmen gegen Datenlecks ergrei- 
fen müssen.” 

Jens Förderer empfiehlt die Spiel- 
räume für die Bekanntgabe von Daten- 
verlusten möglichst eng zu fassen: „Je 
länger die Meldefrist für einen Daten- 
verlust ist, desto eher können Unter- 
nehmen die Bekanntgabe strategisch 
planen und den Zweck der Bekanntgabe 
unterlaufen“ (Technische Universität 
München, PM 24.11.2022, Firmen mel- 
den Datenlecks an Nachrichten-starken 
Tagen). 


USA/China 


TikTok überwacht Journa- 
listen 


Das chinesische Unternehmen Byte- 
dance hat seine Video-App TikTok dazu 
missbraucht die Bewegungen mehrerer 
US-Journalisten und ihrer Angehörigen 
zu überwachen, die die App auf ihren 
Handys installiert hatten. Einen frühe- 
ren Bericht darüber hatte das chinesi- 
sche Unternehmen in Abrede gestellt. 


Ende 2022 sprach dann Bytedance-Chef 
Liang Rubo vom „Fehlverhalten eini- 
ger weniger Einzelpersonen”, das wohl 
„eine Lehre für uns alle” sein werde. 
Die Überwachung der kritischen Jour- 
nalisten erfolgte unter dem internen 
Codenamen Project Raven. Betroffen 
sind laut einer internen Untersuchung 
im Auftrag Bytedance‘ jedenfalls die 
Forbes-Journalisten Emily Baker-White, 
Katharine Schwab und Richard Nieva, 
die früher bei Buzzfeed News gearbeitet 
haben. Außerdem sollen ein Financial- 
Times-Journalist sowie ein nicht na- 
mentlich genannter ehemaliger Buzz- 
feed-Mitarbeiter sowie Angehörige die- 
ser Personen überwacht worden sein. 

Bytedance/TikTok-Mitarbeiter sollen 
wiederholt die Aufenthaltsdaten aus 
den App-Logs abgerufen haben. Damit 
wollten sie wohl herausfinden, ob die 
Überwachten mit Bytedance-Mitarbei- 
tern Kontakt haben. Einer oder mehrere 
Mitarbeiter hatten Beweise für unlaute- 
re Machenschaften bei TikTok an Buzz- 
feed weitergegeben: Tonaufnahmen von 
80 internen Besprechungen belegen, 
dass aus China wiederholt auf die Daten 
von US-amerikanischen TikTok-Nutzern 
zugegriffen wurde. 

Dieser Missbrauch personenbezo- 
gener Daten ist Wasser auf die Mühlen 
jener, die TikTok als Risiko für die na- 
tionale Sicherheit der USA einstufen 
und auf ein Verbot der App dringen. 
In 19 US-Staaten ist die TikTok-App 
auf Diensthandys von Beamten bereits 
verboten oder blockiert. TikTok gilt als 
derzeit meistbesuchtes Online-Angebot 
der Welt. Schon vor mehr als zwei Jah- 
ren hat Chinas Nachbar Indien über 200 
chinesische Apps gesperrt, darunter 
TikTok, Alipay und WeChat. 

Der demokratische US-Senator Mark 
Warner, Vorsitzender des Geheimdienst- 
ausschusses, drohte mit einem TikTok- 
Verbot in den USA: „Diese neue Entwick- 
lung verstärkt schwere Bedenken, dass 
das soziale Netzwerk (Mitarbeitern) 
in der Volksrepublik China erlaubt hat 
wiederholt auf private Daten von US- 
Nutzern zuzugreifen, entgegen wieder- 
holter Beteuerungen, dass diese Daten 
geschützt waren. Das Justizministerium 
verspricht seit mehr als einem Jahr, dass 
sie nach Wegen suchen US-Nutzer vor 
Bytedance und der Kommunistischen 
Partei Chinas zu schützen. Es ist an der 
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Zeit eine Lösung zu präsentieren, oder 
das Parlament wird bald gezwungen sein 
einzugreifen.” 

Für die rechtswidrige Überwachung 
macht Bytedance offenbar ausgerech- 
net jene Mitarbeiter verantwortlich, die 
die Einhaltung von Vorschriften über- 
wachen sollten. Chris Lepitak, Leiter 
der internen Revision, wurde gefeuert, 
außerdem je ein weiterer Mitarbeiter in 
den USA und in der Volksrepublik Chi- 
na. Lepitaks chinesischer Chef Song Ye, 
der direkt Konzernchef Rubo Liang un- 
tersteht, hat laut Forbes selbst den Hut 
genommen. Project Raven soll aus China 
genehmigt worden sein; ausgerechnet 
der Datenschutzbeauftragte TikToks, 
zugleich Sicherheitschef, soll sich dar- 
an beteiligt haben. Zudem soll der Leiter 
der weltweiten Legal Compliance einge- 
weiht gewesen sein. TikTok-Sprecherin 
Hilary McQuaide hat Forbes versichert, 
dass keiner der Übeltäter mehr für den 
Konzern arbeite. Weitere Details zu 
Konsequenzen für (Ex-)Mitarbeiter gibt 
das Unternehmen nicht preis (Sokolov, 
TikTok überwacht Journalisten per App, 
www.heise.de 23.12.2022. Kurzlink: 
https://heise.de/-7441812). 


Taiwan 


Angebliches Promi-Hacking 
gegen China Airlines 


Die taiwanische Fluggesellschaft Chi- 
na Airlines bestätigte anonyme Drohun- 
gen von Hackern erhalten zu haben. 
Offenbar um ihre Forderungen zu unter- 
mauern, haben die Angreifer eine Liste 
prominenter Personen aus Taiwan im 
Internet veröffentlicht. Allerdings wür- 
den die Daten nicht denen aus ihrem 
Vielfliegerprogramm („Dynasty Flyer“) 
entsprechen, sodass unklarist, ob diese 
Liste tatsächlich aus einem Cyberangriff 
stammt. Nachdem China Airlines nicht 
öffentlich zugab von Hackern ange- 
griffen worden zu sein, wurden weitere 
Daten veröffentlicht. Die Liste enthält 
unter anderem den Gründer des Chip- 
auftragsfertigers TSMC, Morris Chang, 
den taiwanischen Vizepräsidenten Lai 
Ching-te, den Außenminister Taiwans, 
Joseph Wu, und Prominenz aus der Un- 
terhaltungsbranche des Landes. 

China Airlines hat nach eigenen An- 
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gaben umgehend die Ermittlungsbe- 
hörden über die Drohungen informiert 
und untersucht die Sicherheit seines 
Systems. Mitglieder des Vielfliegerpro- 
gramms wurden daran erinnert ihre 
Passwörter regelmäßig zu ändern. Die 
Fluggesellschaft erklärte dennoch, dass 
die veröffentlichten Daten nicht zu den 
eigenen Informationen passen würden, 
sodass es unmöglich sei zu erkennen, 
welchen Ursprungs diese Daten seien. 
Die taiwanische Flugaufsichtsbehörde 
CAA (Civil Aeronautics Administration) 
fordert China Airlines auf die Ange- 
legenheit umgehend zu erklären und 
einen Bericht vorzulegen, wie die Si- 
tuation verbessert werden könnte und 
wie mit ähnlichen Vorfällen künftig 
umgegangen wird. Die Fluggesellschaft 
solle außerdem eine umfassende Si- 
cherheitsuntersuchung ihrer Systeme 
durchführen. 

China Airlines wurde 1959 in Taiwan 
gegründet und gehört zur Luftfahrt- 
allianz SkyTeam, wie etwa auch die 
französische Air France und die US- 
amerikanische Delta Air Lines. Sie ist 
nicht zu verwechseln mit China Air der 
Volksrepublik China und bietet seit Jah- 
ren regelmäßige Direktflüge zwischen 
Deutschland und Taiwan an. Viele Jah- 
re war dies exklusiv, erst seit Kurzem 
ist mit der taiwanischen EVA Air eine 
zweite Fluglinie mit Direktflügen nach 
Deutschland hinzugekommen (Schräer, 
Taiwanische Fluglinie untersucht mög- 
lichen Hacker-Angriff auf Passagierda- 
ten, www.heise.de 16.01.2023, Kurz- 
link: https://heise.de/-7459645). 


Australien 


Nach Lösegeldverweige- 
rung Daten von Medibank 
im Darknet 


Einen Monat nach dem Cyberangriff 
auf den australischen Krankenversiche- 
rer Medibank tauchten dabei erbeutete 
Daten im Darknet auf. Es handelt sich 
um Namen, Adressen, Geburtstage, Te- 
lefonnummern, E-Mail-Adressen sowie 
teilweise Kundennummern, Ausweis- 
nummern und einige Daten zu Gesund- 
heitsleistungen. Insgesamt sollen 9,7 
Millionen Menschen betroffen sein. 
Medibank rät ihren Kunden und Kun- 


dinnen bei jeglicher Online-Kommuni- 
kation und bei Transaktionen vorsichtig 
zu sein, die Daten könnten für betrüge- 
rische Zwecke benutzt werden. Austra- 
liens Bundespolizei zeigte sich beunru- 
higt, da es um sehr persönliche Daten 
gehe. Man habe Maßnahmen ergriffen 
und eine nach einem anderen Hacker- 
angriff eingerichtete Initiative auf den 
Vorfall bei Medibank ausgeweitet. Das 
Unternehmen hatte sich geweigert ein 
Lösegeld für die Daten zu zahlen. 

Medibank hat nach eigener Aussage 
mehr als 3,9 Millionen Kunden und Kun- 
dinnen in Australien; das Unternehmen 
vertreibt vor allem Krankenversiche- 
rungen. Betroffen sind auch ehemalige 
Kunden, Daten bei einer Tochterfirma 
und Kunden im Ausland, weshalb deut- 
lich mehr Menschen als anfangs gedacht 
betroffen sein dürften. 

Über einen „Cyber-Vorfall hatte Medi- 
bank Mitte Oktober 2022 berichtet und 
eine „forensische Analyse” angekün- 
digt. Sie hatte anfangs nicht mitgeteilt, 
ob und in welchem Umfang Daten abge- 
griffen wurden. Später hatten sich die 
mutmaßlichen Täter an das Unterneh- 
men gewandt und erklärt, sie hätten 200 
Gigabyte an sensiblen Daten erbeutet. 
Damit die nicht weitergegeben würden, 
müsse Medibank Geld zahlen. Außerdem 
wurde gedroht, dass prominente Kun- 
den und Kundinnen kontaktiert und mit 
sensiblen Gesundheitsdaten konfrontiert 
würden, sollte kein Lösegeld fließen. Die 
Reaktion von Medibank: „Basierend auf 
den umfangreichen Ratschlägen, die wir 
von Experten für Cyberkriminalität erhal- 
ten haben, glauben wir, dass es nur eine 
begrenzte Chance gibt, dass die Zahlung 
eines Lösegelds die Rückgabe der Daten 
unserer Kunden sicherstellt und verhin- 
dert, dass sie veröffentlicht werden.” 
Diese Vorgehensweise stimme mit den 
Empfehlungen der Regierung Australi- 
ens überein. Premierminister Anthony 
Albanese erklärte, er sei selbst Kunde 
bei Medibank: „Das ist wirklich hart für 
die Betroffenen.” Aber das Unternehmen 
habe die Richtlinien befolgt. Seine Re- 
gierung will die Strafen für „wiederholte 
und ernsthafte” Datenschutzverstöße 
deutlich erhöhen (Holland, Lösegeld 
nicht bezahlt: Daten von australischem 
Krankenversicherer im Darknet, www. 
heise.de 09.11.2022, Kurzlink: https:// 
heise.de/-7334201). 
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Brasilien 


Crowd-Investigation gegen 
rechte Demonstranten 


Nachdem rechtsradikale Aufständi- 
sche am 08.01.2023 mehrere Regie- 
rungsgebäude und das Oberste Gericht 
in der brasilianischen Hauptstadt 
Brasilia verwüstet hatten, tauchte 
auf Instagram ein neuer Account auf. 
Unter dem Namen „Contragolpe Bra- 
sil” - ein Wortspiel, das sowohl „Gegen 
den Putsch in Brasilien” als auch „Ge- 
genschlag Brasilien” bedeuten kann 
- wurden Fotos von mutmaßlichen 
Teilnehmern des Sturms gepostet. Die 
Idee, so die Macher hinter dem Ac- 
count, sei Informationen zu sammeln, 
mit denen „Menschen, die die Demo- 
kratie in Brasilien angreifen wollen“, 
identifiziert werden könnten. Damit 
wolle man es den Behörden einfacher 
machen Täter zu finden und zu bestra- 
fen, die an diesem Tag einer Verhaf- 
tung entgangen seien. 

Schon nach 24 Stunden erreichte der 
Account der Aktivisten 1,1 Millionen 
Follower. David Nemer, Professor für 
Medienwissenschaften an der Univer- 
sität von Virginia, der auch Mitglied 
der Fakultät der Harvard University 
ist, kommentierte: „Ich bin überhaupt 
nicht überrascht, dass dieses Konto so 
schnell zustande kam. Wir alle wuss- 
ten, dass sich [die Aufständischen] 
in WhatsApp-Gruppen und Telegram- 
Kanälen organisiert hatten, weil die 
alle offen waren. Das wurde alles in 
den sozialen Medien angekündigt. 
[Der Sturm] war also zu erwarten, es 
gab keine Geheimhaltung.” 

Diejenigen, die die Attacke durch- 
geführt haben, waren Anhänger des 
ehemaligen Präsidenten Jair Bolsona- 
ro, der die Wahl gegen den linken Kan- 
didaten Luis Inäcio Lula da Silva zuvor 
verloren hatte. Aus Protest gegen die 
Wahl kampierten sie zunächst vor Mi- 
litärkasernen im ganzen Land, bevor 
sie dann mit Bussen in die Hauptstadt 
Brasilia fuhren, um dort gewalttätig 
zu demonstrieren. Während die An- 
greifer auf dem Rasen der brasiliani- 
schen Bundesregierung und im bra- 
silianischen Kongress, dem Obersten 
Gerichtshof Brasiliens sowie dem Prä- 
sidentenpalast randalierten, hinterlie- 
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ßen sie Spuren in Form von Posts, Vi- 
deos und Fotos. Sie teilten ihre Aktion 
sowohl auf öffentlichen Social-Media- 
Plattformen als auch in privaten Mes- 
saging-Apps. Viele Dutzend dieser Bil- 
der wurden von „Contragolpe Brasil” 
gesammelt und mittlerweile veröffent- 
licht. Auf praktisch jedem Foto sind 
Gesichter von Menschen zu sehen. 

Die Betreiber des Instagram-Ac- 
counts Contragolpe Brasil sind bislang 
anonym. Sie forderten Sympathisan- 
ten dazu auf auch private Nachrichten 
mit Fotos und Identifizierungsdaten 
einzuschicken. Sie baten zudem da- 
rum solche Informationen an die Be- 
hörden weiterzuleiten. Contragolpe 
Brasil ist nicht die einzige Crowdsour- 
cing-Aktion, die in Brasilien zur Iden- 
tifizierung der Täter des 08.01.2023 
läuft. Agäncia Lupa, ein Team von Fak- 
tencheckern, hat eine Datenbank mit 
Text-, Foto- und Videobeiträgen vom 
Tag des Aufstands erstellt, deren In- 
formationen sich aus anonymen (auch 
privaten) Quellen speisen. 

Die Identifizierung von Teilnehmern 
gewalttätiger Veranstaltungen durch 
das Durchsuchen sozialer Medien fin- 
det nicht zum ersten Mal statt. Die 
Methode kam auch zur Identifizierung 
von Verantwortlichen für den Sturm 
auf das US-Kapitol in Washington am 
06.01.2021 zum Einsatz. Manche der 
dabei aktiven Gruppen wie etwa die 
sogenannten Deep State Dogs gingen 
dabei bis ins Detail und schauten sich 
genaue Taten wie Sachbeschädigung 
oder den Angriff der Presse näher an. 

In Brasilien entwickelt sich eine 
ähnliche Dynamik. Nicht lange nach- 
dem Contragolpe Brasil mit den Ver- 
öffentlichungen begonnen hatte, 
trudelten die ersten Kommentare ein. 
In einem wurde ein möglicher Name 
für einen „bärtigen Mann mit dunkler 
Sonnenbrille, einer Adidas-Baseball- 
kappe und einem gelb-grünen Trikot 
der brasilianischen Fußballnational- 
mannschaft” genannt. Er sei ein Be- 
amter im Bundesstaat Paranä, so der 
Kommentator. Jemand fragte darauf- 
hin, für welche Behörde er arbeite, 
damit sie markiert werden könne und 
die Leute „angemessene Maßnahmen 
fordern” könnten. Dann hieß es, dass 
der Mann auf dem Foto bereits entlas- 
sen worden sei. 


Inzwischen wurden die Bildunter- 
schriften zu den aufContragolpe Brasil 
veröffentlichten Fotos geändert. Eini- 
ge enthielten die vollständigen Namen 
der Personen, ihre Wohnorte und die 
Bundesstaaten, in denen sie leben. 
Sogar Instagram-Accounts wurden 
aufgeführt. Mittlerweile gibt es eine 
Form von Selbstzensur. Der Versuch, 
Kriminelle online zu identifizieren, 
kann danebengehen, wenn die Bürger 
sich irren, wofür es Beispiele gibt. Eine 
Frau behauptete ein Hacking-Opfer zu 
sein, das entsprechende Bild sei nicht 
von ihr eingestellt worden. Mittlerwei- 
le ist sie untergetaucht. 

Instagram reagierte. Es war eine 
gewisse Zeit nicht mehr möglich neue 
Beiträge auf Contragolpe Brasil zu pos- 
ten. Wie es dazu kam, bleibt unklar; 
die Meta-Tochter antwortete zunächst 
nicht auf eine Pressenachfrage. Die 
Aktivisten reagierten damit ihre Inhal- 
te über Instagram-Stories zu teilen. 
Eine davon verkündete einen Erfolg: 
die Verhaftung von Ana Priscila Azeve- 
do, was auch die Strafvollzugsbehörde 
im Bundesdistrikt Brasiliens bestätig- 
te. Azevedo war über den Dienst von 
Contragolpe Brasil identifiziert wor- 
den. Darin wird sie als eine „der Orga- 
nisatorinnen des Aufstandes” bezeich- 
net. Insgesamt sollen 1.166 Personen 
zwischen dem 08.01. und dem 11.01. 
verhaftet worden sein, wie viele davon 
durch die „Unterstützung“ von Social 
Media, ist unklar. 

Es ist außerdem unklar, ob die Be- 
hörden Contragolpe Brasil bei ihren 
Ermittlungen gegen Azevedo oder 
andere Personen, die verhaftet wur- 
den, tatsächlich genutzt haben. Das 
Ministerium für Justiz und öffentliche 
Sicherheit Brasiliens reagierte nicht 
auf eine Bitte um Stellungnahme. Me- 
dienwissenschaftler Nemer glaubt, es 
wäre ein Hilfsmittel gewesen: „Social- 
Media-Posts sind aber nur eine Art von 
Beweisen. Ich bin mir sicher, dass die 
Polizei allein durch die Namen dieser 
Leute noch mehr herausfinden könn- 
te” (Langlois, Unruhen in Brasilien: 
Wie Aktivisten Aufständische über In- 
stagram finden wollen, www.heise.de 
18.01.2023, Kurzlink: https://heise. 
de/-7460855). 
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Technik-Nachrichten 


Sicherheitsforscher entdek- 
ken viele Kfz-Datenlecks 


Forscher haben verschiedene Kompo- 
nenten von etlichen Automarken auf Si- 
cherheit abgeklopft und sind auf unzäh- 
lige wunde Punkte gestoßen. Sie konn- 
ten eigenen Angaben zufolge unter an- 
derem auf interne Mitarbeiter-Daten von 
Autoherstellern zugreifen, Accounts von 
Kunden übernehmen und die komplette 
Kontrolle über einige Autos erlangen, 
nachdem sie Webportale und Program- 
mierschnittstellen (APIs) analysierten 
und dabei Schwachstellen entdeckten. 

Gemäß der Auflistung konnten sie 
Modelle von unter anderem Kia, Hon- 
da, Hyundai und Nissan öffnen und 
den Motor starten. Dafür benötigten 
sie eigenen Angaben zufolge lediglich 
die Fahrzeug-Identifikationsnummer 
(FIN), die sie in einer HTTP-Anfrage an 
den Endpoint schickten. Bei vielen Mo- 
dellen kann man diese Nummer durch 
die Windschutzscheibe ablesen. Die At- 
tacken gehen auf Schwachstellen in der 
SiriusXM-Plattform zurück, die weltweit 
beirund 12 Millionen vernetzten Autos 
zum Einsatz kommen soll. 

Aufgrund von unsicher konfigurier- 
ten Single-Sign-On-Schnittstellen in 
Händlerportalen konnten die Forscher 
eigenen Angaben zufolge unter ande- 
rem auf Github-Instanzen, interne Fir- 
mendaten, Mitarbeiter-Informationen 
und Kundendaten zugreifen. Das war 
etwa bei Ferrari, Mercedes-Benz, Por- 
sche und Toyota der Fall. Aufgrund von 
Schwachstellen konnten sie z.B. über 
vergleichsweise simple HTTP-Anfragen 
Accounts von BMW-Mitarbeitern zu- 
rücksetzen, diese übernehmen und sich 
so Zugriff verschaffen. In Webportalen 
von Mercedes und Rolls-Royce konnten 
die Forscher sogar eigenen Code aus- 
führen und hatten Zugriff auf hunder- 
te interne Tools. Aus dem Bericht geht 
nicht hervor, ob die Autohersteller die 
Schwachstellen geschlossen haben; ge- 
mäß einem Tweet war dies zumindest 
bei Nissan Bugs der Fall (Schirrmacher, 
Geöffnet und weggefahren: Sicherheits- 
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forscher knacken Autos von Kia, Honda 
& Co., www.heise.de 04.01.2023, Kurz- 
link: https://heise.de/-7447668). 


Meta nutzt Biometrie zur 
Altersverifizierung 


Facebook erprobt Möglichkeiten, wie 
Plattform-User ihr Alter bei der Nut- 
zung von deren Dating-App verifizieren 
können. Dazu zählt auch ein KI-Ge- 
sichtsscan-Tool. Meta, Facebooks Mut- 
terkonzern, hat bisher KI-Gesichtsscan- 
ner eingesetzt, um das Alter von Insta- 
gram-Nutzern zu verifizieren. Jetzt sagt 
das Unternehmen, dass es das Tool bei 
Facebook-Dating-Nutzern testen wird. 

Meta kündigte am 05.12.2022 in ei- 
nem Blogbeitrag an damit zu beginnen 
Nutzerinnen und Nutzer von Facebooks 
Dating-App aufzufordern ihr Alter zu 
verifizieren, wenn die Plattform ver- 
mutet, dass sie minderjährig sind. Um 
den Dating-Service zu nutzen gilt eine 
Altersgrenze von 18 Jahren. Meta wird 
bei Facebook Dating demnach die Al- 
tersverifizierungstechnologie des bri- 
tischen Unternehmens Yoti einsetzen, 
das die Nutzenden auffordert ein Aus- 
weisdokument hochzuladen oder die 
Yoti-Technologie zur Altersschätzung 
per Gesichtsscan zu verwenden. Meta 
teilt demnach ein Standbild aus dem Vi- 
deo-Selfie mit Yoti, das das Alter anhand 
der Gesichtszüge schätzt. Yoti könne die 
Identität nicht erkennen, so Meta. Das 
System wird zunächst für Nutzende in 
den USA eingeführt. 

Erica Finkle, Direktorin für Data 
Governance des Unternehmens, erläu- 
terte: „Indem wir den Menschen mehr 
als eine Option zur Verifizierung ihres 
Alters anbieten, können sie die Methode 
wählen, die am besten zu ihren Bedürf- 
nissen und Vorlieben passt. Zum Bei- 
spiel haben viele Menschen nicht immer 
Zugang zu Ausweispapieren, die eine 
Altersverifizierung deutlich machen.” 
Die neuen Altersüberprüfungssysteme 
sollen dazu beitragen Minderjährige 
davon abzuhalten auf Funktionen zu- 


zugreifen, die für Erwachsene gedacht 
sind. Für Volljährige selbst scheint es 
keine Anforderungen zu geben ihr Alter 
auf Facebook Dating zu verifizieren, z.B. 
um sicherzustellen, dass ein 45-Jähri- 
ger sich nicht als 18-Jähriger ausgibt. 

Meta hat Yoti zuvor schon einge- 
setzt, z.B. zur Altersüberprüfung von 
Instagram-Nutzenden, die versuchen 
ihr Geburtsdatum so zu ändern, dass sie 
18 oder älter sind. Yoti behauptet, dass 
sein System im Großen und Ganzen sehr 
genau sei. Die Rate der korrekten Iden- 
tifizierung von 13- bis 17-Jährigen als 
unter 23 Jahre alt betrage 99,65%. Meta 
sagt, dass die Altersverifizierung „Hun- 
derttausende” von Menschen in alters- 
gerechte Versionen der App sortiert hat 
und dass 81% der Nutzenden, die von 
Instagram aufgefordert werden ihr Alter 
zu verifizieren, die Selfie-Option von Yoti 
nutzten. Instagram betont, dass das Sys- 
tem zur Altersverifikation von Yoti da- 
tenschutzfreundlich und vom Age Check 
Verification Scheme, einer britischen 
Non-Profit-Organisation, verifiziert sei. 
Auch würden laut Instagram verschie- 
dene Jugend- und Datenschutzorgani- 
sationen das System von Yoti empfehlen, 
darunter etwa die deutsche Kommission 
für Jugendschutz (KJM). 

Das System ist nicht für alle Men- 
schen gleich genau: Die Daten von Yoti 
zeigen, dass die Genauigkeit bei „weib- 
lichen“ Gesichtern und Menschen mit 
dunklerer Hautfarbe schlechter ist, so 
die Zeitschrift „The Verge“. Forscher 
haben zudem darauf hingewiesen, 
dass Gesichtserkennungs- und -analy- 
sesoftware generell bei Menschen un- 
terschiedlichen Alters, Hautfarbe und 
Geschlechts verschieden gut funktio- 
niert. So kam es vor, dass Facebooks 
Gesichtserkennung schwarze Men- 
schen für Affen hielt. In einem News- 
Clip wurde Rassismus gegen Schwarze 
thematisiert; Facebooks Kl schlug Nut- 
zern dazu vor mehr „Videos über Pri- 
maten“ anzuzeigen (Knobloch, Meta: 
KI-Gesichtsscans für Facebook Dating, 
www.heise.de 05.12.2022, Kurzlink: 
https://heise.de/-7367036). 
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Meta-Mitarbeitende berei- 
cherten sich über exklusive 
kriminelle Dienstleistung 


Gemäß einem Pressebericht hat der 
Facebook-Mutterkonzern Meta im Jahr 
2022 mehr als zwei Dutzend Angestellte 
entlassen, deren Aufgabe es eigentlich 
war Nutzenden mit Log-in-Problemen zu 
helfen. Stattdessen seien die Accounts 
missbräuchlich übernommen worden. 
In einigen Fällen sollen Mitarbeiten- 
de mehrere Tausend US-Dollar Beste- 
chungsgelder von Cyberkriminellen 
angenommen haben. Unter den Entlas- 
senen seien sowohl Mitarbeiter als auch 
Auftragnehmer mit Zugang zu sicher- 
heitsrelevanten internen Mechanismen 
gewesen. Dem Bericht zufolge seien die 
Personen in einer langwierigen inter- 
nen Untersuchung identifiziert worden. 
Man werde, so wird ein Meta-Sprecher 
zitiert, weiterhin geeignete Maßnah- 
men gegen die Verstöße und die daran 
beteiligten Personen ergreifen. 

Das intern „Oops“ (Online Operations) 
bezeichnete Programm existiert seit 
den frühen Jahren von Facebook und 
sollte für „Sonderfälle” genutzt werden, 
die Probleme (vergessene Zugangsda- 
ten oder gehackte Konten) mit ihren 
Accounts haben. Die Möglichkeit zur 
Nutzung des „Oops“-Programms sollte 
auf Mitarbeiter des Teams von CEO Mark 
Zuckerberg, Geschäftspartner, Famili- 
enmitglieder oder Persönlichkeiten des 
öffentlichen Lebens beschränkt sein, 
von deren Konten auch wirtschaftliche 
Erfolge abhängen. Das „Oops”-Team, das 
für Facebook- und Instagram-Konten 
zuständig ist, soll internen Dokumen- 
ten zufolge 2020 über 50.000 Anfragen 
bearbeitet haben, drei Jahre zuvor wa- 
ren es demnach 22.000. In den „Oops”- 
Berichten angegebene E-Mail-Adressen 
zum Zurücksetzen des Passworts des je- 
weiligen Accounts seien an das Commu- 
nity-Support-Team von Meta weiterge- 
leitet worden, sofern die automatische 
Funktion zum Zurücksetzen des Pass- 
worts nicht funktionierte oder Nutzer 
ihre E-Mail-Adressen vergessen hatten. 

Um die Nutzenden, deren Geschäft in 
großen Teilen von sozialen Netzwerken 
abhängig ist, habe sich ein lukratives, 
kriminelles Geschäft entwickelt. Die 
kompromittierten Accounts seien in On- 


DANA « Datenschutz Nachrichten 1/2023 


line-Foren für Zehntausende Dollar ver- 
kauft worden. Sogenannte „Vermittler“ 
berechneten demnach - für die Rück- 
gewinnung der Kontrolle - den eigentli- 
chen Besitzern „eine entsprechende Ge- 
bühr”. Das sei gemäß dem Bericht nur 
möglich, weil die Kriminellen Zugang zu 
Mitarbeitern des Meta-Konzerns hätten 
und der reguläre Zugriff auf das „Oops”- 
Team dem größten Teil der mehr als drei 
Milliarden Nutzenden von Facebook und 
Instagram nicht zur Verfügung stehe. 
Den Kundenservice werde Meta eige- 
nen Angabe zufolge in den kommenden 
Jahren ausbauen. 2017 gab Facebook 
bekannt mit Delegated Recovery den 
Passwort-Reset via E-Mail abzulösen 
(Mewes, Geschäft mit Benutzerkonten: 
Meta-Mitarbeiter verkaufen Zugangsin- 
formationen, www.heise.de 18.11.2022, 
Kurzlink: https://heise.de/-7345337). 


Twitter-Konto-Daten frei 
im Netz 


Am Weihnachtswochenende 2022 
wurde bekannt, dass in Untergrundfo- 
ren eine Datenbank mit rund 400 Milli- 
onen Datensätzen von Twitter-Konten 
zum Verkauf stehe. Diese enthalte of- 
fenbar echte Daten wie E-Mail-Adressen 
oder öffentlich verfügbare Informatio- 
nen. Die Datenbank wurde schließlich 
weitergegeben und ist mit 235 Millionen 
Einträgen seit Januar 2023 anscheinend 
frei verfügbar. Es besteht der Verdacht, 
dass die Datendiebe eine Mitte 2022 von 
Twitter bestätigte Schwachstelle miss- 
braucht haben, um mittels „Scraping“ 
an die Nutzerdaten zu gelangen. Auf 
das ursprüngliche Untergrund-Foren- 


posting stieß zunächst der israelische 
Sicherheitsforscher Alon Gal. 

Gal beobachtete den Vorfall weiter 
und veröffentlichte seine neuen Er- 
kenntnisse in seinem LinkedIn-Profil. 
Er geht von der Echtheit der Datenbank 
aus. Inzwischen hätten mehr als ein 
Cyberkrimineller die Daten zum Ver- 
kauf angeboten. Er korrigierte jedoch 
seine Einschätzung, dass anstatt der 
ursprünglich angenommenen 400 Mil- 
lionen Datensätze nur die von 235 Mil- 
lionen Twitter-Nutzer enthalten seien; 
dies hätten zwei Verkäufer bekräftigt, 
die rund 190 Millionen Dubletten in 
dem Datenfundus ausgemacht hätten. 
Außerdem seien zwar private Informa- 
tionen wie die E-Mail-Adresse sowie 
öffentliche Informationen enthalten, 
nicht jedoch die Telefonnummer. Der 
IT-Sicherheitsforscher ergänzte, dass 
die ursprünglich missbrauchte Lücke es 
ermöglichte Nutzer mittels ihrer Tele- 
fonnummer zu finden. Daher geht er da- 
von aus, dass die Cyberkriminellen diese 
Funktion genutzt hätten und eine Da- 
tenbank mit Telefonnummern existiert. 
Belege liefert Gal dafür jedoch nicht. 

Schließlich stellte Alon Gal fest, dass 
die Datenbank nach starkem Kursieren 
im Untergrund veröffentlicht wurde. Er 
schätzt, dass die Daten jetzt insbeson- 
dere für gezieltes Phishing missbraucht 
werden können. Twitter-Nutzende sind 
deshalb gut beraten Vorsicht bei ver- 
meintlichen Nachrichten oder E-Mails 
von Twitter walten zu lassen. Es könnte 
sich um gut gemachtes Phishing han- 
deln (Knop, Datenleck: Datenbank mit 
235 Millionen Twitter-Konten kursiert, 
www.heise.de 05.01.2023, Kurzlink: 
https://heise.de/-7449391). 


Jetzt DVD-Mitglied werden: j 
www.datenschutzverein.de 
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Rechtsprechung 


EGMR 


Auskunftsverweigerung 
hindert Gegendarstellungs- 
anspruch nicht 


Nach neun Jahren hat der Europäische 
Gerichtshof für Menschenrechte (EGMR) 
mit seinem Urteil vom 17.01.2023 ei- 
nen Strich unter den Rechtsstreit zwi- 
schen der früheren Geschäftsführerin der 
Linksfraktion im Bundestag, Ruth Kam- 
pa, und dem Axel-Springer-Verlag und 
seiner Zeitung „Welt“ gezogen und deren 
Gegendarstellungspflicht bestätigt (Az. 
No. 8964/19). Der Umstand, dass Kam- 
pa der Welt zunächst eine Stellungnah- 
me verweigert hatte, ändert an dieser 
Pflicht nichts. Im Oktober 2013 hatte 
die Zeitung Welt einen Artikel über „Die 
Stasi-Frau an Gysis Seite” veröffentlicht. 
Gemeint war Kampa. Die Frau, deren 
langjährige Arbeit für die Stasi damals 
öffentlich gemacht wurde, galt dem Blatt 
als „Top-Spionin in der DDR”. Vor allem 
aber wurde sie mit dem Verschwinden des 
SED-Parteivermögens in Verbindung ge- 
bracht, wenngleich die Zeitung zugleich 
einräumte: „Es gibt derzeit keinerlei Be- 
leg dafür, dass Kampa an möglichen kri- 
minellen Machenschaften beteiligt war.” 
Dennoch legte das Blatt eine Verwick- 
lung Kampas in den schwer durchschau- 
baren Umgang mit den Vermögenswerten 
nahe. Kampa zog vor Gericht und ver- 
langte eine Gegendarstellung. Sie bekam 
recht. Am 03.02.2014 druckte das Blatt 
ihre Antwort: „Mit dem Verbleib des SED- 
Vermögens nach 1989 hatte ich nichts 
zu schaffen.” 

Springer hatte die Anordnung, Kampas 
Replik zu drucken, als Verletzung seiner 
Redefreiheit angesehen. Der Straßbur- 
ger EGMR hingegen attestierte der deut- 
schen Justiz, namentlich dem Berliner 
Kammergericht, sorgfältige Arbeit. Hier 
stehe der Schutz des Privatlebens ge- 
gen die Redefreiheit. Einen generellen 
Vorrang habe keine der beiden Positio- 
nen, beide Rechte verdienten vielmehr 
„den gleichen Respekt”. Im konkreten 
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Fall habe das Kammergericht eine aus- 
führliche und wohlabgewogene Prüfung 
des Artikels vorgenommen, die kein An- 
zeichen von Willkür trage. Auch sei die 
Antwort - gemessen an den durchaus 
detaillierten Ausführungen im Artikel - 
keineswegs unverhältnismäßig. 
Umstritten war in dem Fall vor allem, 
ob Kampa irgendwie selbst schuld an 
dem Artikel war, weil sie - von der „Welt“ 
mit den Vorwürfen konfrontiert - nicht 
auf deren Fragen zu ihrer Beteiligung an 
Firmen mit angeblichem SED-Vermögen 
geantwortet hatte. Kampas Weigerung, 
dem Verlag Rede und Antwort zu stehen, 
stelle indes kein valides Argument dar. 
Das Gericht bestätigte, dass es zur jour- 
nalistischen Ethik gehört, Betroffenen 
vor der Veröffentlichung eines Artikels 
die Gelegenheit zur Selbstverteidigung 
zu geben. Aber „die Tatsache, dass die 
Vorwürfe der Person im Voraus mitge- 
teilt wurden, gibt der Presse keine unbe- 
schränkte Freiheit unbestätigte Vorwürfe 
zu veröffentlichen”. Auch das Recht auf 
Gegendarstellung werde dadurch nicht 
ausgehebelt. Der Gerichtshof stellt damit 
klar, dass die Nachfrage beim Betroffe- 
nen den Journalisten keinen Freibrief 
ausstellt, wenn die Antwort ausbleibt. 
Vorwürfe müssen trotzdem mit sorgfälti- 
ger Recherche abgesichert werden. Und 
wer als Betroffener schweigt, darf sich 
am Ende dennoch per Gegendarstellung 
äußern (Janisch, SZ 19.01.2023, 19). 


EuGH 


Eigentümerveröffentli- 
chung zu juristischen 
Gesellschaften im Internet 
ist grundrechtswidrig 


Der Europäische Gerichtshof (EuGH) 
Union sieht gemäß seinem Urteil vom 
22.11.2022 einen schwerwiegenden 
und unverhältnismäßigen Eingriff in 
die Grundrechtecharta und erklärte die 
EU-Geldwäscherichtlinie zu Teilen für 
ungültig, soweit diese vorsieht, dass 
die Angaben zu wirtschaftlichen Eigen- 


tümern von Gesellschaften im Hoheits- 
gebiet der Gemeinschaft in allen Fällen 
für die Öffentlichkeit einsehbar sein 
müssen, um der Geldwäsche und der Fi- 
nanzierung von Terrorismus entgegen- 
zuwirken (Az. C-37/20, C-601/20). 

Der mit dieser Maßnahme verbun- 
dene Eingriff in die durch die in Art. 7 
und Art. 8 der Charta gewährleisteten 
Grundrechte auf Achtung des Privatle- 
bens sowie auf den Schutz personenbe- 
zogener Daten sei weder auf das absolut 
Erforderliche beschränkt, noch stehe er 
in einem angemessenen Verhältnis zu 
dem verfolgten Ziel. Die Kläger hatten 
sich zunächst ohne Erfolg gegen ein 
im Jahr 2019 in Luxemburg erlassenes 
Gesetz zur Registrierung wirtschaftli- 
cher Eigentümer gewandt, mit dem die 
Richtlinie umgesetzt wurde. Die gesam- 
melten Informationen wurden - unter 
anderem über das Internet - der breiten 
Öffentlichkeit zugänglich gemacht. Die 
Kläger argumentierten mit der Gefahr 
von Erpressungen oder Entführungen 
und wollten den Zugang zu sensiblen 
Informationen einschränken lassen. 

Nach Ansicht des EuGH ermöglichten 
es die verbreiteten Angaben einer po- 
tenziell unbegrenzten Zahl von Perso- 
nen sich über die materielle und finan- 
zielle Situation eines wirtschaftlichen 
Eigentümers Kenntnis zu verschaffen. 
Der Schutz gegen einen möglichen 
Missbrauch der Informationen sei nicht 
ausreichend und die entsprechende 
Bestimmung in der Richtlinie ungültig 
(EU-Geldwäscherichtlinie ist teilweise 
rechtswidrig, www.lto.de 22.11.2022). 


EuGH 


Google hat beim Recht auf 
Vergessen Ermessensspiel- 
raum 


Der Europäische Gerichtshof (EuGH) 
hat mit Urteil vom 08.12.2022 entschie- 
den, dass die Auslistung von Treffern 
einer Suchmaschine, die zu Falschan- 
gaben über die eigene Person führen, 
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keine Anhörung des Verursachers er- 
fordert. Das Ersuchen sollte mit stich- 
haltigen Informationen belegt werden. 
„Fakes“ müssen nicht schon gerichtlich 
festgestellt sein (C-460/20). Damit hat 
der EuGH in einem weiteren Verfahren 
zu komplizierten Fragen rund um das 
„Recht auf Vergessen“ entschieden. 

Geklagt hatten ein Geschäftsführer 
mehrerer Finanzdienstleistungsunter- 
nehmen und die Prokuristin eines die- 
ser Unternehmen, weil Google der Aus- 
listung kritischer Berichte eines in New 
York ansässigen Portals über die Firmen 
nicht stattgegeben hatte. Die fraglichen 
Berichte seien falsch und das Portal 
habe übrigens versucht sie zu erpres- 
sen, so die Klage. Die Kläger scheiter- 
ten in zwei Instanzen und wandten sich 
2018 an den Bundesgerichtshof (BGH). 
Der legte 2020 dem EuGH die Frage vor, 
inwieweit die Kläger ihre Darstellung 
der Unwahrheit gerichtlich nachweisen 
müssen. 

Die Große Kammer entschied: Wer 
Google zum Auslisten von seiner Mei- 
nung nach falschen Informationen nach 
Artikel 17 der DSGVO (Recht auf Verges- 
sen) in Anspruch nimmt, muss nachwei- 
sen, dass es sich um Falschinformatio- 
nen handelt. Es muss aber nicht gleich 
eine einstweilige Verfügung sein, um 
den Nachweis zu führen. Das wäre eine 
übermäßige Belastung des Einzelnen. 
Liegt ein gerichtlicher Titel in der Sa- 
che vor, dann muss die Suchmaschine 
auf jeden Fall auslisten. Es gebe keinen 
dem Persönlichkeitsrecht entgegen- 
stehenden Anspruch der Öffentlichkeit 
auf freien Informationszugang; es gebe 
kein Recht auf Falsch-Information. 

Im vorliegenden Fall konnten die 
Betroffenen gegenüber Google kei- 
nen Gerichtsbescheid vorweisen. In 
solchen Fällen ist der Betreiber der 
Suchmaschine nicht verpflichtet ei- 
nem Auslistungsantrag stattzugeben, 
„wenn sich aus den von der betroffe- 
nen Person vorgelegten Nachweisen 
nicht offensichtlich ergibt, dass die 
in dem aufgelisteten Inhalt enthalte- 
nen Informationen unrichtig sind”. Es 
besteht ein Ermessensspielraum des 
Suchmaschinenbetreibers. Im Streit- 
fall müsse den Betroffenen allerdings 
der Weg zum Gericht offenstehen, um 
die Ermessensentscheidung im Hause 
Google überprüfen zu lassen. 
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Der EuGH folgte in weiten Teilen den 
Schlussanträgen des Generalanwalts von 
April 2022. Anders aber beurteilten die 
Richter Googles Pflicht zur Mitwirkung 
bei der Wahrheitsfindung. Hatte Gene- 
ralanwalt Giovanni Pitruzzella den Vor- 
schlag unterbreitet, Google solle mit den 
zur Verfügung stehenden technischen 
Mitteln die erbrachten Nachweise über- 
prüfen und, vor allem, „rasch ein Streit- 
gespräch mit dem Herausgeber der Web- 
seite, der die Information ursprünglich 
verbreitet hat, veranlassen”, geht das 
Urteil nicht von einer Mitwirkungspflicht 
aus. Ein derartiger „procedural due data 
process” wäre für den Suchmaschinenbe- 
treiber zu aufwändig und könne zur Nei- 
gung führen schneller auszulisten. Wie 
die Bewertung der von den Antragstel- 
lern beigebrachten Nachweise in der Pra- 
xis funktionieren wird, muss sich zeigen. 

Vorgelegt hatte der BGH auch die Fra- 
ge, ob Google Thumbnails mit Bildern 
der Kläger auslisten muss, die im Zusam- 
menhang mit dem Artikel veröffentlicht 
worden waren. Der EuGH erkannte an, 
dass Vorschaubilder mit persönlichen 
Fotos „einen besonders starken Eingriff” 
ins Persönlichkeitsrecht darstellen. Der 
Suchmaschinenbetreiber müsse daher 
unabhängig vom Text prüfen, „ob die 
Anzeige der fraglichen Fotos erforderlich 
ist, um das Recht auf freie Information 
auszuüben”. Besteht ein Auslistungsan- 
spruch in Bezug auf den Artikel, müs- 
sen auf jeden Fall auch die Thumbnails 
gelöscht werden. Ist der Artikel über die 
Finanzdienstleistungsprodukte der Klä- 
ger ein wichtiger Beitrag zur Information 
der Öffentlichkeit, so kommt es darauf 
an, welchen Beitrag die Fotos zur Infor- 
mation der Öffentlichkeit darstellen. Das 
letzte Wort im konkreten Fall hat nun der 
BGH. (Ermert, Recht aufVergessen: Keine 
Mitwirkungspflicht für Google bei Wahr- 
heitsprüfung, www.heise.de 08.12.2022, 
Kurzlink: https://heise.de/-7370857). 


EuGH 


Anspruch auf konkrete Aus- 
kunft über Ubermittlungs- 
empfänger 

Der Europäische Gerichtshof (EuGH) 


hat mit Urteil vom 12.01.2023 bekräf- 
tigt, dass gemäß dem Transparenz- 


grundsatz der Datenschutz-Grundver- 
ordnung (DSGVO) jeder Mensch das 
Recht hat zu erfahren, an wen seine 
personenbezogenen Informationen 
weitergegeben wurden (Az.: C-154/21). 
Dieser Anspruch gilt nicht absolut: Der 
für die Datenverarbeitung Verantwortli- 
che kann sich darauf beschränken, nur 
die Kategorien von Empfängern mitzu- 
teilen, wenn diese nicht einzeln iden- 
tifizierbar sind. Ein Antrag darf auch 
nicht „offenkundig unbegründet oder 
exzessiv” sein. Der Oberste Gerichtshof 
Österreichs hatte den Fall dem EuGH 
vorgelegt. 

Ein Bürger hatte die Österreichische 
Post unter Bezugnahme auf die DSGVO 
aufgefordert, ihm mitzuteilen, gegen- 
über welchen Empfängern sie seine 
personenbezogenen Daten offengelegt 
habe. Die Post teilte dem Anfragenden 
zunächst nur mit, sie verwende perso- 
nenbezogene Daten - soweit rechtlich 
zulässig - im Rahmen ihrer Tätigkeit als 
Herausgeberin von Telefonbüchern und 
biete diese Daten Geschäftskunden für 
Marketingzwecke an. Der so Abgespeiste 
erhob daraufhin gegen die Aktiengesell- 
schaft Klage vor den österreichischen 
Gerichten. Im Lauf des Verfahrens ließ 
sich die Post noch entlocken, persönli- 
che Daten seien an Kunden weitergege- 
ben worden, zu denen werbetreibende 
Unternehmen im Versandhandel und 
stationären Handel, IT-Unternehmen, 
Adressverlage und Vereine wie Spen- 
denorganisationen, Nichtregierungsor- 
ganisationen oder politische Parteien 
gehört hätten. 

Der EuGH entschied, dass der Verant- 
wortliche verpflichtet ist, der betrof- 
fenen Person auf Anfrage die Identität 
der Empfänger mitzuteilen. Nur wenn es 
momentan oder künftig nicht möglich 
ist diese Adressaten individuell zu iden- 
tifizieren, sei es legitim lediglich über 
die Kategorien der einschlägigen Emp- 
fänger Auskunft zu geben. Die Richter 
heben ferner hervor, dass das Aus- 
kunftsrecht erforderlich ist, um andere 
Betroffenenansprüche aus der DSGVO 
auszuüben, wie die Rechte auf Berich- 
tigung, Löschung (auf „Vergessenwer- 
den“), Einschränkung oder Widerspruch 
gegen die Verarbeitung oder Rechtsbe- 
helf im Schadensfall. Das oberste ös- 
terreichische Gericht muss nun prüfen, 
inwieweit die österreichische Post die- 
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sen Vorgaben genügte (Krempl, EuGH- 
Urteil: Bürger müssen wissen, wohin 
ihre Daten wandern, www.heise.de 
12.01.2023, Kurzlink: https://heise. 
de/-7457616). 


EuGH 


Bei Einwilligungswiderruf 
sind sämtliche Verantwort- 
liche zu informieren 


Der Europäische Gerichtshof (EuGH) 
hat mit Urteil vom 27.10.2022 ent- 
schieden, dass für die Veröffentlichung 
personenbezogener Daten in einem 
öffentlichen Teilnehmerverzeichnis 
(Telefonverzeichnis) die vorherige Ein- 
willigung des betreffenden Teilnehmers 
erforderlich ist (Az. C-129/21). Haben 
die Anbieter die Daten an andere Anbie- 
ter weitergeleitet, genügt es für einen 
Widerruf zur Erreichung der Datenlö- 
schung, wenn sich der Betreffende an 
einen der „Verantwortlichen“ wendet, 
der die anderen, auch Suchmaschinen- 
betreiber, zu informieren hat. 

Der belgische TK-Anbieter Proximus 
bietet auch Teilnehmerverzeichnisse 
und Telefonauskunftsdienste an. Die 
Kontaktdaten (Name, Adresse und Tele- 
fonnummer) der Teilnehmer erhält er von 
anderen TK-Anbietern wie Telenet, es sei 
denn, der Teilnehmer hat den Wunsch 
geäußert nicht in die Verzeichnisse auf- 
genommen zu werden. Erhaltene Daten 
übermittelt Proximus außerdem an einen 
weiteren Anbieter von Teilnehmerver- 
zeichnissen. Ein Telenet-Teilnehmer for- 
derte Proximus aufseine Kontaktdaten in 
den Teilnehmerverzeichnissen nicht zu 
veröffentlichen. Proximus änderte den 
Status des Teilnehmers entsprechend. 
Allerdings erhielt Proximus von Telenet 
aktualisierte Daten des Teilnehmers, die 
nicht als vertraulich ausgewiesen waren 
und die erneut in ihren Teilnehmerver- 
zeichnissen erschienen. 

Nachdem der Teilnehmer seine Forde- 
rung erneuerte, antwortete Proximus, 
die Daten seien aus den Teilnehmer- 
verzeichnissen gelöscht und Google 
kontaktiert worden, damit die maßgeb- 
lichen Links zur Proximus-Website ent- 
fernt würden. Das Unternehmen teilte 
außerdem mit, dass es seine Kontaktda- 
ten an andere Anbieter von Teilnehmer- 


62 


verzeichnissen weitergeleitet habe, die 
dank der monatlichen Aktualisierungen 
über seine Forderung informiert worden 
seien. Der Teilnehmer legte zugleich 
Beschwerde bei der belgischen Daten- 
schutzbehörde ein. Diese verpflichtete 
Proximus zur Abhilfe und verhängte ge- 
gen das Unternehmen wegen Verstößen 
gegen die DSGVO eine Geldbuße in Höhe 
von 20.000 Euro. 

Proximus focht die Entscheidung 
beim Appellationshof Brüssel an und 
machte geltend, die Einwilligung des 
Teilnehmers sei für die Veröffentlichung 
seiner personenbezogenen Daten in Te- 
lefonverzeichnissen nicht erforderlich. 
Die Teilnehmer müssten selbst das „Opt- 
out” beantragen in den Verzeichnissen 
nicht aufgeführt zu werden. Die Daten- 
schutzbehörde vertrat eine gegenteili- 
ge Auffassung. Der Appellationshof rief 
den EuGH an. 

Der EuGH bestätigte, dass die Ein- 
willigung eines ordnungsgemäß 
unterrichteten Teilnehmers für die 
Veröffentlichung seiner personenbe- 
zogenen Daten in einem öffentlichen 
Teilnehmerverzeichnis erforderlich 
sei. Diese Einwilligung erstrecke sich 
auf jede weitere Verarbeitung der Da- 
ten durch dritte Unternehmen, die 
auf dem Markt für öffentlich zugäng- 
liche Telefonauskunftsdienste und 
Teilnehmerverzeichnisse tätig seien, 
sofern diese Verarbeitung denselben 
Zweck verfolge. Die Einwilligung er- 
fordere eine „in informierter Weise 
und unmissverständlich abgegebene” 
Willensbekundung in Form einer Er- 
klärung oder einer sonstigen „eindeu- 
tigen bestätigenden Handlung“, mit 
der die betroffene Person zu verstehen 
gebe, dass sie mit der Verarbeitung der 
sie betreffenden personenbezogenen 
Daten einverstanden sei. Eine solche 
Einwilligung setze nicht unbedingt 
voraus, dass die betroffene Person zum 
Zeitpunkt ihrer Erteilung die Identität 
aller Anbieter von Verzeichnissen ken- 
ne, die ihre personenbezogenen Daten 
verarbeiten werden. 

Der EuGH unterstreicht zudem, dass 
die Teilnehmer die Möglichkeit haben 
müssten die Löschung ihrer personen- 
bezogenen Daten aus Teilnehmerver- 
zeichnissen im Sinne der DSGVO zu 
erwirken. Ein Verantwortlicher wie 
Proximus müsse geeignete technische 


und organisatorische Maßnahmen er- 
greifen, um die anderen Anbieter von 
Teilnehmerverzeichnissen, denen er 
solche Daten geliefert hat, über den 
Widerruf der Einwilligung der betrof- 
fenen Person zu informieren. Er müs- 
se zudem den Telefondienstanbieter, 
der ihm die Daten übermittelt hat, 
informieren. Wenn sich nämlich, wie 
im vorliegenden Fall, verschiedene 
Verantwortliche auf eine einheitliche 
Einwilligung der betroffenen Person 
stützten, genüge es, dass sich die be- 
troffene Person, um ihre Einwilligung 
zu widerrufen, an irgendeinen der 
Verantwortlichen wende. Schließlich 
müsse ein Verantwortlicher wie Pro- 
ximus nach der DSGVO angemessene 
Maßnahmen treffen, um Suchmaschi- 
nenanbieter über den bei ihm ein- 
gegangenen Antrag des Teilnehmers 
eines Telefondienstanbieters auf Lö- 
schung seiner personenbezogenen Da- 
ten zu informieren (Veröffentlichung 
von Kontaktdaten in Telefonverzeich- 
nis nur mit Einwilligung, https://rsw. 
beck.de 27.10.2022). 


BVerfG 


Datenweitergabe von Ver- 
fassungsschutz an Polizei 
ist grundrechtswidrig 


Gemäß einem Beschluss des Bun- 
desverfassungsgerichts (BVerfG) vom 
28.09.2022 verstößt die Weitergabe 
personenbezogener Daten durch die 
Verfassungsschutzbehörden an Straf- 
verfolger in der aktuell praktizierten 
Form gegen das Grundrecht auf infor- 
mationelle Selbstbestimmung, soweit 
die Gesetze zur Übermittlung personen- 
bezogener Daten verpflichten, welche 
mit nachrichtendienstlichen Mitteln 
erhoben wurden (Az. 1 BvR 2354/13). 
Die diesbezüglichen Bestimmungen 
des Bundesverfassungsschutzgesetzes 
(BVerfSchG) verletzen das Trennungs- 
prinzip und sind unverhältnismäßig. 
Strengere Bestimmungen für die Über- 
mittlungen werden sich auch auf die 
Speisung der Rechtsextremismus-Datei 
(RED) auswirken. 

8 20 Abs. 15. 2 BVerfSchG regelt die 
Weitergabe von Personendaten durch 
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die Verfassungsschutzämter des Bun- 
des und der Länder an Polizei und 
Strafverfolgung. Eine solche Weiterga- 
be ist nach Ansicht der Richter nur auf 
Basis strenger Anforderungen über- 
haupt zulässig. Die Voraussetzungen, 
unter denen die Daten weitergegeben 
werden dürfen, sind nach Ansicht des 
Gerichts nicht klar geregelt. Die vom 
Beschwerdeführer, einem im Münchner 
Prozess wegen Beihilfe zum Mord ver- 
urteilten NSU-Helfer Carsten Schult- 
ze, angegriffene Regelung erlaubt das 
Durchreichen persönlicher Daten auf 
der Basis langer Listen von Straftatbe- 
ständen im Gerichtsverfahrensgesetz 
(GVG). Die dort aufgeführten Staats- 
schutzvergehen des GVG (Landesver- 
rat, Bildung einer terroristischen Ver- 
einigung usw.) werden als besonders 
schwerwiegend klassifiziert, wenn die 
Bundesanwaltschaft die Ermittlungen 
an sich zieht. Der Beschluss kritisiert 
die ungenügenden Differenzierungen 
bei der Gewichtung der Schwere der 
Straftat. Zwar seien Verweisungsket- 
ten üblich und nicht grundsätzlich zu 
beanstanden, doch müssten die Re- 
gelungen hinreichend bestimmt sein. 
Durch bloße Verweise auf die Listen 
werde gegen das Gebot der Verhältnis- 
mäßigkeit verstoßen, da die Straftaten 
in den 88 120 und 74 GVG nicht unter- 
schiedslos in die Kategorie „schwere 
Straftaten” fallen. Ein Beispiel ist der 
Verstoß gegen ein Vereinsverbot mit 
einer Höchststrafe von einem Jahr oder 
die Vorfeldregelung des $ 89b Strafge- 
setzbuch (Aufnahme von Beziehungen 
zur Begehung einer schweren staatsge- 
fährdenden Gewalttat). 

Da Verfassungsschutzämtern sehr viel 
weiterreichende Mittel bei der Samm- 
lung von Informationen zur Verfügung 
stehen, unterliegen die Übermittlun- 
gen gesteigerten Rechtfertigungsvo- 
raussetzungen. Bei konkreter Gefahr 
können die Voraussetzungen durch- 
aus erfüllt sein. Bei einer Neuregelung 
müsse der Gesetzgeber darauf achten 
„eine Übermittlung nicht zu weit im 
Vorfeld einer in ihren Konturen noch 
nicht absehbaren Gefahr” zu erlauben. 
Eine konkrete Gefahr müsse jeweils im 
Einzelfall festgestellt werden. In sei- 
nem Beschluss verweist das BVerfG er- 
neut auf das Trennungsgebot zwischen 
Geheimdiensten und Strafverfolgern, 
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das in den vergangenen Jahren mehr 
und mehr, etwa durch die gemeinsam 
genutzten Dateien wie die Antiterror- 
Datei und die Rechtsextremismus-Datei 
(RED), aufgeweicht wurde. Im Urteil 
zum Bayerischen Verfassungsschutz- 
gesetz stand der Verstoß gegen dieses 
informationelle Trennungsgebot mit im 
Zentrum (DANA 2/2022, 127 £.). Weitere 
Verfassungsbeschwerden gegen Lan- 
desverfassungsschutzgesetze in Hessen 
und Hamburg sind anhängig. Für eine 
Novellierung der Übermittlungsbefug- 
nisse im BVerfSchG hat das Bundesver- 
fassungsgericht dem mit seinen Sicher- 
heitsgesetzen wenig verfassungsfesten 
Gesetzgeber eine Frist bis Ende 2023 
eingeräumt. Ungeklärt ist durch das 
BVerfG, was mit zu Unrecht übermittel- 
ten Personendaten passieren soll, die 
jetzt in der Rechtsextremismus-Datei 
gespeichert sind. 

Beanstandet wurden vom BVerfG 
schließlich auch die in den Übermitt- 
lungsvorschriften geregelte Protokol- 
lierung, auch in Bezug auf die Nennung 
der in Anspruch genommenen Rechts- 
grundlagen (Ermert, Verfassungs- 
schutz: Karlsruhe schränkt Weitergabe 
von Daten an die Polizei ein, www.heise. 
de 03.11.2022, Kurzlink: https://heise. 
de/-7329062; BVerfG PMNr. 85/2022 v. 
03.11.2022, Erfolgreiche Verfassungs- 
beschwerde gegen die Übermittlung 
mit nachrichtendienstlichen Mitteln 
erhobener personenbezogener Daten; 
Janisch, Karlsruhe reguliert Datenfluss 
an Polizei, SZ 04.11.2022, 5). 


EU-Gericht 


WhatsApp-Bußgeld wegen 
Intransparenz bestätigt 


Das EU-Gericht urteilte auf die Kla- 
ge des Meta-Anbieters WhatsApp am 
07.12.2022 erstmals über einen An- 
trag auf Nichtigerklärung einer ver- 
bindlichen EDSA-Entscheidung (Az.: 
T-709/ 21). Im August 2021 hatte die iri- 
sche Datenschutzbehörde, die Data Pro- 
tection Commission (DPC), auf Basis der 
europäischen Datenschutz-Grundver- 
ordnung (DSGVO) ein Bußgeld in Höhe 
von 225 Millionen Euro gegen Whats- 
App verhängt (DANA 4/2021, 253). Die 
Aufsicht warf dem Messengerdienst 


mangelnde Information gegenüber den 
Betroffenen beim Teilen von Daten mit 
Facebook und weiteren Konzernunter- 
nehmen vor. WhatsApp bezeichnete die 
Sanktion als unverhältnismäßig und 
klagte dagegen nicht nur in Irland, son- 
dern auch vor dem Gericht der EU. Die 
Luxemburger Richter wiesen diese Be- 
schwerde als unzulässig zurück. 

WhatsApp wandte sich an das EU-Ge- 
richt mit dem Antrag zum Annullieren 
einer vorgelagerten Entscheidung, weil 
der von der DPC zunächst vorgelegte 
Entwurf mit den Untersuchungsergeb- 
nissen und Strafempfehlungen in Krei- 
sen der anderen nationalen Aufsichts- 
behörden umstritten war. Die Vorlage 
ging daher an den Europäischen Daten- 
schutzausschuss (EDSA), der Ende Juli 
2021 einen für alle beteiligten Kontrol- 
leure bindenden Beschluss fasste. Auf 
dieser Basis erließ die DPC wenig später 
ihre endgültige Verfügung. Ein solcher 
Rechtsakt ist demnach auf Basis des 
EU-Vertrags nicht direkt anfechtbar. 
Zudem sei WhatsApp von dem Beschluss 
des Datenschutzausschusses gar nicht 
unmittelbar betroffen. Die Gültigkeit 
der angefochtenen Entscheidung kön- 
ne aber von dem nationalen Gericht ge- 
prüft werden, das mit einer Klage gegen 
den späteren endgültigen Beschluss be- 
fasst ist. In diesem Rahmen sei es auch 
möglich dem Europäischen Gerichtshof 
(EuGH) Fragen zur Vorabentscheidung 
vorzulegen. 

Die angefochtene Entscheidung än- 
dert gemäß dem Gerichtsentscheid an 
sich nichts an der Rechtsstellung von 
WhatsApp, da sie - anders als der end- 
gültige Beschluss aus Irland - nicht 
unmittelbar gegen das Unternehmen 
vollstreckbar sei. Eshandle sich nur um 
einen vorbereitenden Akt. Zudem habe 
die umstrittene EDSA-Entscheidung 
keine unabhängige Rechtswirkung 
gegenüber WhatsApp. Das EU-Gericht 
stärkt so auch insgesamt dem Daten- 
schutzausschuss den Rücken. Der 
Messaging-Betreiber kann gegen das 
Urteil mit Bezug aufrein rechtliche As- 
pekte innerhalb von zwei Monaten und 
zehn Tagen Berufung vor dem EuGH 
einlegen (Krempl, Datenschutz: Whats- 
App scheitert vor EU-Gericht mit Klage 
gegen Millionenstrafe, wwrw.heise.de 
12.12.2022, Kurzlink: https://heise. 
de/-7391950). 
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BGH 


Erneut EuGH-Vorlage 
wegen Verbandsklagerecht 


Der für Wettbewerbsrecht zuständige 
erste Zivilsenat des Bundesgerichtshofs 
(BGH) zieht mit seinem Beschluss vom 
10.11.2022 ein zweites Mal vor den Eu- 
ropäischen Gerichtshof (EuGH) mit einer 
Detailfrage zum Klagerecht von Verbrau- 
cherschutzverbänden beim Datenschutz 
gegen große Tech-Plattformen (Az. IZR 
186/17). Indem Verfahren zwischen dem 
nach & 4 UKlaG eingetragenen Dachver- 
band der Verbraucherzentralen, dem Ver- 
braucherzentrale Bundesverband (vzbv), 
und der Internetplattform Facebook geht 
es darum, ob Verbraucherschützer auch 
ohne einen Auftrag konkret Betroffener 
vor Gericht ziehen dürfen. Auf eine erste 
BGH-Anfrage hin hatten die Luxembur- 
ger Richter entschieden, die Klagebefug- 
nis des Verbandes stehe in Einklang mit 
der DSGVO (DANA 2/2022, 125). 

In der Ende September 2022 fortge- 
setzten Verhandlung am BGH sah es so 
aus, als würden die obersten Zivilrich- 
ter Deutschlands dem folgen. Doch der 
erste Zivilsenat war von Anfang an der 
Meinung, dass Verbraucherschutzver- 
bände nicht per se klagebefugt seien. 
Die anderslautende Entscheidung aus 
Luxemburg bezeichnete der Vorsitzende 
Richter Thomas Koch als „unerwartet“. 
Der BGH legt deshalb nach und will wis- 
sen, ob in dem Fall aus Sicht des EuGH 
die Voraussetzung erfüllt ist, dass die 
Rechte einer betroffenen Person gemäß 
der DSGVO „infolge einer Verarbeitung” 
im Sinne von Art. 80 Abs. 2 DSGVO ver- 
letzt worden sind. Es sei fraglich, ob die- 
se Voraussetzung erfüllt ist, wenn - wie 
im Streitfall - die sich aus Art. 12 Abs. 1 
Satz 1, Art. 13 Abs. 1 Buchst. cund e DS- 
GVO ergebenden Informationspflichten 
verletzt worden sind. Anwalt Peter Was- 
sermann als Vertreter der Verbraucher- 
schützer meinte bei der Verhandlung, 
eine Entscheidung in der Sache sei wich- 
tig für eine „Fülle von Verfahren”, die an 
Gerichten anhängig sind. 

Der Leiter des Teams Rechtsdurchset- 
zung beim vzbv, Heiko Dünkel, bedauerte 
die durch die Entscheidung entstehende 
Hängepartie. Angesichts der massenhaf- 
ten Datenschutzverstöße auf den großen 
Digitalplattformen sei es enttäuschend, 
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dass sich dieses schon sehr lange laufen- 
de Grundsatzverfahren wieder verzögere: 
„Dervzbv wird sich nun mögliche Auswir- 
kungen der heutigen Entscheidung auf 
weitere derzeit noch laufende Verfahren 
anschauen.” Richter Koch räumte eben- 
falls ein, es seibedauerlich, dass sich das 
Verfahren nun erneut verzögere: „Aber 
es war unvermeidlich.” 

Der Facebook-Mutterkonzern Meta 
kommentierte den Beschluss nicht. Bei 
den konkret angemahnten Verstößen 
geht es darum, dass bei Facebook 2012 
kostenlose Spiele von Drittanbietern 
präsentiert wurden, bei denen Nutze- 
rinnen und Nutzer per Klick auf „Sofort- 
spielen“ der Übermittlung verschiedener 
Daten an den Spielebetreiber zugestimmt 
hatten. Bei einem Spiel endeten die Hin- 
weise mit dem Satz: „Diese Anwendung 
darf Statusmeldungen, Fotos und mehr 
in deinem Namen posten.” Gerichte in 
Berlin gaben den Verbraucherschützern 
Recht. Der Anwalt von Facebook, Christi- 
an Rohnke, hatte bei der Verhandlung am 
BGH betont, Facebook habe diese Hand- 
habe inzwischen geändert (BGH legt 
EuGH erneut eine Frage zur Klagebefug- 
nis von Verbraucherschutzverbänden bei 
Datenschutzverstößen durch Facebook 
vor, BGH, PM Nr. 159/22 v. 10.11.2022; 
Datenschutz: Unklarheiten bei Klage- 
rechten für Verbraucherschutzverbän- 
de, www.heise.de 10.11.2022, Kurzlink: 
https://heise.de/-7336293). 


VG Ansbach 


Private Fotobeweisüber- 
mittlung bei Verkehrsver- 
stößen zulässig 


Gemäß zwei Urteilen des Verwaltungs- 
gerichts (VG) Ansbach vom 02.11.2022 
darf, wer einen Falschparker anzeigen 
will, dessen Fahrzeug fotografieren und 
die Bilder der Polizei mailen ohne des- 
wegen Probleme wegen des Datenschut- 
zes zu bekommen (Az. AN 14 K 22.00468 
u. AN 14 K 21.01431). Das Gericht gab 
damit zwei Männern Recht, die ihre 
Anzeigen von Parkverstößen auf Geh- 
und Radwegen, also von Ordnungswid- 
rigkeiten, mit Fotos untermauert und 
deswegen vom Bayerischen Landesamt 
für Datenschutzaufsicht (BayLDA) eine 
Verwarnung samt einer Gebühr von 100 


Euro bekommen hatten. Das beklagte 
BayLDA meinte, für die Anzeige einer 
Ordnungswidrigkeit würde die Anga- 
be des Kfz-Kennzeichens samt Tatort 
und Tatzeit ausreichen. Die Klägerseite 
hielt dem entgegen, dass ohne fotogra- 
fischen Beleg im Zweifel Aussage gegen 
Aussage stehe. 

Einer der Kläger hatte zuvor mit der 
Polizei für ihn unangenehme Erfahrun- 
gen gemacht, nachdem er sich als Fahr- 
radfahrer mehrfach über Falschparker 
auf Fahrrad- und Gehwegen aufgeregt 
hatte und in 17 Fällen mit Fotos der Au- 
tokennzeichen die Polizeiinspektionen 
Olympiapark und Moosach informiert 
hatte. Diese leitete keine Verfahren 
gegen die Falschparker ein, sondern 
meldete ihn beim BayLDA wegen der 
Verletzung des Persönlichkeitsrechts 
der Autofahrer. Der Leiter der Polizeiin- 
spektion habe ihn zuvor, so die Darstel- 
lung des Klägers, persönlich angerufen: 
„Erhat sich gemeldet, um mich fertig zu 
machen.” Die Anwohner würden durch 
die Falschparker nicht gestört, das sei 
kein Problem; er sei das Problem. Der 
Polizist habe damit gedroht ihn wegen 
Datenschutzverstoßes zu melden und 
ihn anzuzeigen, weil er in Zeiten der 
Pandemie das Haus verlassen habe. 

Das VG verband die beiden Klage- 
verfahren der Betroffenen wegen der 
identischen Fragestellungen zu einer 
gemeinsamen Verhandlung und stellte 
fest, dass es sich bei dem Vorgehen um 
eine rechtmäßige Datenverarbeitung 
gehandelt habe. Die Prozessbeteiligten 
stritten vor der 14. Kammer darum, ob 
die Anzeigenerstatter von den Parkver- 
stößen persönlich betroffen sein müs- 
sen, um ein „berechtigtes Interesse” 
für die Datenübermittlung an die Poli- 
zei geltend machen zu können, und ob 
nicht die schriftliche oder telefonische 
Schilderung des Sachverhalts unter An- 
gabe des Kfz-Kennzeichens ausreiche. 
Das BayLDA hatte darauf verwiesen, 
dass auf den Bildern oft auch andere Da- 
ten wie weitere Autos samt Kennzeichen 
oder Personen zu sehen seien. Die Klä- 
ger wiederum betonten, dass die Polizei 
sie aufgefordert habe die Parksituation 
zum Beweis mit Fotoaufnahmen mög- 
lichst genau zu dokumentieren. 

Die Deutsche Umwelthilfe, die einen 
der beiden Kläger wegen der Bedeu- 
tung als Musterverfahren unterstützt, 
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begrüßte das Urteil durch ihren Bun- 
desgeschäftsführer Jürgen Resch: 
„Falschparken ist kein Kavaliersde- 
likt, sondern gefährdet Menschen, die 
mit Fahrrad, Rollator, Rollstuhl oder 
Kinderwagen unterwegs sind. Die Be- 
hörden sollten nicht gegen zivilgesell- 
schaftliches Engagement vorgehen, 
sondern konsequent Maßnahmen ge- 
gen zugeparkte Fuß- und Radwege, 
Falschparken vor abgesenkten Bord- 
steinen oder in Kreuzungsbereichen 
ergreifen. Und das nicht nur in Bayern, 
sondern bundesweit.” 

Das BayLDA erklärte, es werde die 
Verfahren zum Anlass nehmen Abstim- 
mungsgespräche mit den zuständigen 
Ordnungsbehörden, insbesondere der 
Polizei aufzunehmen. Es sollten klare 
und einheitliche Informationen darüber 
erreicht werden, welche Angaben bei 
einer Anzeigeerstattung wegen Falsch- 
parkens verlangt werden und welcher 
Kommunikationsweg hierfür genutzt 
werden sollte. Nach Veröffentlichung 
der schriftlichen Urteilsgründe erklär- 
te der Präsident des BayLDA, dass die 
Urteile nicht als „Freibrief für Falsch- 
parker-Fotografen” missverstanden 
werden dürften. In diesen Fällen sei die 
DSGVO mit den Datenminimierungs-, 
Lösch- und Auskunftspflichten umfas- 
send anwendbar (Kehrhahn, DSGVO- 
Urteil: Bürger dürfen Falschparker für 
Anzeigen fotografieren, www.heise.de 
03.11.2022, Kurzlink: https://heise. 
de/-7328875; DSGVO: Dürfen Bürger 
Falschparker für Anzeige fotografieren? 
www.heise.de 03.11.2022, Kurzlink: 
https://heise.de/-7328420; PE BayLDA 
03.11.2022, BayLDA zu „Falschpar- 
ker-Fotografen“-Entscheidung des VG 
Ansbach vom 03.11.2022; Wimmer, 
Falschparker dürfen fotografiert wer- 
den, SZ 04.11.2022, 24; BayLDA, PM v. 
02.01.2023, Klageerfolg, aber kein Frei- 
brief für „Falschparker-Fotografen”). 


VG Wiesbaden 


Fluggastdatenabgleich ist 
illegal 

Das Verwaltungsgericht (VG) Wiesba- 
den hat mit Urteilen vom 06.12.2022 


in zwei Verfahren festgestellt, dass die 
vom Bundeskriminalamt (BKA) bislang 
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praktizierte anlasslose und massen- 
hafte Fluggastüberwachung mit dem 
EU-Recht und den darin verbrieften 
Grundrechten nicht vereinbar ist (Az.: 6 
K 1199/22.WIu. 6K 805/19.WI). In bei- 
den Fällen ging es um die Verarbeitung 
sogenannter Passenger Name Records 
(PNR) nach dem Fluggastdatengesetz 
(FlugDaG), mit dem der Bundestag 2017 
eine einschlägige EU-Richtlinie um- 
zusetzen versuchte. Die Klagen hatten 
Malte Spitz, Generalsekretär der Gesell- 
schaft für Freiheitsrechte (GFF), und der 
frühere EU-Beamte Emilio De Capitani 
2019 eingereicht. Sie flogen jeweils 
auf innereuropäischen Strecken bezie- 
hungsweise von der EU aus in Drittstaa- 
ten und von dort zurück. In diesem Zu- 
sammenhang glich das BKA ihre Daten 
mit polizeilichen Datenbanken ab. Zu 
einem Treffer führte dies nicht. 

Das VG gab den Feststellungsklagen 
statt mit der Begründung, dass es bei 
den innereuropäischen Flügen an einer 
grundrechtskonformen Rechtsgrundla- 
gedesBKA fehlte. Nach einem Grundsat- 
zurteil des Europäischen Gerichtshofs 
(EuGH) dürften die Daten von Passa- 
gieren von Flügen innerhalb der EU nur 
verarbeitet werden, sofern es Anhalts- 
punkte für terroristische Bedrohungen 
auf bestimmten Flugrouten gebe (DANA 
3/2022, 201 ff.). Eine solche Lage habe 
das BKA nicht nachweisen können. Die 
„lotalüberwachung sämtlicher Flüge“, 
wie sie das FlugDaG vorsehe, sei daher 
unzulässig. 

Auch bei den Flügen in einen Dritt- 
staat liegt dem Gericht zufolge keine 
Rechtsgrundlage für die Datenverarbei- 
tung durch das BKA vor. Die Bekämpfung 
gewöhnlicher Kriminalität rechtfertige 
es nach der EuGH-Rechtsprechung nicht 
die Informationen sämtlicher Flugpas- 
sagiere ohne konkreten Anhaltspunkt 
mit Ausschreibungs- und Fahndungsda- 
tenbanken abzugleichen. Die Mitglied- 
staaten haben laut der Ansage vielmehr 
die Aufgabe gesetzlich die schweren 
Straftaten zu benennen, wegen derer 
die Reisenden „einer so weitgehenden 
Datensammlung” ausgesetzt würden. 
Nur so könne sichergestellt werden, dass 
das System der Fluggastdatenspeiche- 
rung allein zur Bekämpfung schwerer 
Kriminalität eingerichtet und betrieben 
werde. Einen solchen Straftatenkatalog 
enthalte das FlugDaG aber nicht. 


Mit der EU-Richtlinie können Flugpas- 
sagierdaten im Kampf gegen Terroris- 
mus und Verbrechen grundsätzlich bis 
zu fünf Jahre lang gespeichert werden. 
Die PNR umfassen eine Vielzahl sensib- 
ler Informationen, die vom Geburtsda- 
tum über die Namen der Begleitperso- 
nen, eventuelle Vielfliegernummern 
oder die zum Kauf des Fluges verwen- 
deten Zahlungsmittel bis hin zu einem 
Freitextfeld reichen. Die 6. Kammer des 
VG Wiesbaden hatte dem EuGH Fragen 
zur Vereinbarkeit der Richtlinie mit hö- 
herrangigem EU-Recht wie der Grund- 
rechtecharta gestellt. Diese haben die 
Luxemburger Richter zwar noch nicht 
direkt beantwortet. Dafür erklärten sie 
im Juni 2022 auf eine ähnliche Vorlage 
des belgischen Verfassungsgerichtshofs 
hin, dass die Richtlinie prinzipiell Be- 
stand habe. Entsprechende nationale 
Befugnisse müssten auf das „absolut 
Notwendige” beschränkt werden (DANA 
3/2022, 201 f.). Damit zeichnete sich 
bereits ab, dass das BKA seine Raster- 
fahndung im Himmel deutlich zurück- 
fahren muss. 

Spitz freute sich über einen „Erfolg 
gegen Massenüberwachung”. Der lan- 
ge Atem habe sich gelohnt. Weitere 
Klagen, die die GFF koordiniert, sind 
bei anderen deutschen Gerichten ge- 
gen das BKA und Fluglinien wie die 
Lufthansa noch anhängig. Die Bundes- 
regierung hatte das Vorgehen 2020 als 
verhältnismäßig verteidigt. Die Flug- 
gastdatenzentrale im BKA verarbeitete 
im gleichen Jahr rund 105 Millionen 
Passagierdatensätze. Die Trefferquote 
für potenzielle Gefährder lag 2019 bei 
0,082 Promille. 

Das BKA kann beim Hessischen Ver- 
waltungsgerichtshof Berufung einle- 
gen. Auch die Option zur Sprungrevi- 
sion beim Bundesverwaltungsgericht 
ließ die Kammer offen. Rechtsmittel 
müsste die Polizeibehörde binnen ei- 
nes Monats einlegen. Die EU-Länder 
überlegen derweil, ob sie dauerhaft 
eine „reale und aktuelle oder vorher- 
sehbare terroristische Bedrohung” 
deklarieren könnten (VG Wiesbaden, 
PENr. 07/2022, Verarbeitung von Flug- 
gastdaten rechtswidrig; Krempl, Flug- 
gastdaten: Verwaltungsgericht unter- 
sagt BKA Himmels-Rasterfahndung, 
www.heise.de 28.12.2022. Kurzlink: 
https://heise.de/-7443833). 
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LG Frankfurt am Main 


Auch sinngleiche Ehrverlet- 
zungen sind umfassend in 
Social Media zu löschen 


Das Landgericht (LG) Frankfurt am 
Main hat auf Antrag des Antisemitis- 
musbeauftragten des Landes Baden- 
Württemberg, Michael Blume, im Eilver- 
fahren am 14.12.2022 entschieden, dass 
ehrverletzende und falsche Tweets von 
Twitter gelöscht werden müssen, wenn 
Betroffene das verlangen (Az. 2-03 0 
325/22). Auch „kerngleiche“, also sinn- 
gemäße, leicht umformulierte Kommen- 
tare mit identischem Äußerungskern 
muss Twitter entfernen, sobald es von 
der konkreten Persönlichkeitsrechtsver- 
letzung Kenntnis erlangt. In Bezug auf 
Facebook hat das so bereits der Europä- 
ische Gerichtshof (EuGH) im Jahr 2019 
entschieden (DANA 4/2019, 235 £.). 

Auf Twitter behaupteten Nutzer wahr- 
heitswidrig, Blume habe „eine Nähe zur 
Pädophilie“ und er habe „einen Seiten- 
sprung gemacht“. Er sei in „antisemiti- 
sche Skandale” verstrickt und „Teil ei- 
nes antisemitischen Packs“. Mehrfach 
meldete Blume, der durch die gemein- 
nützige Organisation HateAid im Ver- 
fahren unterstützt wurde, im durch das 
Netzwerkdurchsetzungsgesetz (Netz- 
DG) eingeführten Verfahren die Kom- 
mentare. Nach dem NetzDG hätte Twit- 
ter ihm demnach eine Beschwerdemög- 
lichkeit einräumen müssen. Außerdem 
hätte die Plattform ihn auf die Option 
hinweisen müssen Strafanzeige gegen 
den Verfasser zu erstatten. Twitter hatte 
zunächst nahezu alle Kommentare on- 
line stehen gelassen. Erst mehr als eine 
Woche nach der Meldung waren sie ver- 
schwunden. Dies geschah aber nicht, 
weil Twitter sie dauerhaft entfernte, 
sondern, so HateAid, weil der für die 
Verleumdungen hauptverantwortliche 
Account gesperrt wurde. 

Blume wollte aber, dass Twitter die 
Kommentare löscht. Das LG stellte fest, 
dass diese ehrenrührigen Behauptun- 
gen unwahr sind. Die Bezeichnung 
„Antisemit” sei zwar eine Meinungs- 
äußerung. Sie sei aber in diesem Kon- 
text rechtswidrig, denn sie trage nicht 
zur Öffentlichen Meinungsbildung bei. 
Vielmehr ziele sie erkennbar darauf ab 
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Stimmung gegen den Antisemitismus- 
beauftragten zu machen. Twitter hätte 
nach der Aufforderung des Antisemi- 
tismusbeauftragten die Kommentare zu 
löschen, ihre Verbreitung unverzüglich 
unterlassen und einstellen müssen: 
„Das Unterlassungsgebot greift nicht 
nur dann, wenn eine Äußerung wort- 
gleich wiederholt wird, sondern auch, 
wenn die darin enthaltenen Mitteilun- 
gen sinngemäß erneut veröffentlicht 
werden.” 

Allerdings seien die Äußerungen 
nicht in jeglichem Kontext zu untersa- 
gen. Betroffen seien nur solche Kom- 
mentare, die als gleichwertig anzuse- 
hen seien. Der Äußerungskern müsse 
identisch sein. Twitter habe auch keine 
allgemeine Monitoring-Pflicht im Hin- 
blick auf seine rund 237 Millionen Nut- 
zenden. Prüfen müsse die Plattform nur 
konkret beanstandete Persönlichkeits- 
rechtsverletzungen. 

Als zulässig erachtete die Kammer 
die Äußerung eines Nutzers, wonach 
der Antisemitismusbeauftragte in die 
jährlich vom Wiesenthal-Zentrum in Los 
Angeles veröffentlichte Liste der größ- 
ten Antisemiten weltweit aufgenommen 
worden ist. Das Center, das mit dem 
echten Simon Wiesenthal nichts ge- 
meinsam hat außer den Namen und des- 
halb unseriös daherkommt, hat Blume 
tatsächlich so eingestuft. Es gehe nicht 
um die Frage, ob die Aufnahme gerecht- 
fertigt sei. Es ginge um die Information 
über die Aufnahme in der Liste. Darüber 
dürfe grundsätzlich informiert werden. 
Dagegen müsse sich der Antisemitis- 
musbeauftragte im öffentlichen Mei- 
nungskampf zur Wehr setzen. 

HateAid begrüßte das Urteil grund- 
sätzlich, übte jedoch auch Kritik: „Eine 
Klage darf nicht die einzige Möglichkeit 
sein, um sein Recht auf Social-Media- 
Plattformen durchsetzen zu können. 
Diese systemischen Defizite in der Con- 
tent-Moderation auf Twitter beobachten 
wir schon länger - meist lassen sie Be- 
troffene hilflos zurück.” Blume wurde 
von Rechtsanwalt Chan-jo Jun von Jun 
Rechtsanwälte vertreten: „In einer ide- 
alen Welt bemühen sich Unternehmen 
die für sie geltenden Gesetze so gut wie 
möglich zu befolgen. Twitter stellt sich 
inzwischen dazu im Widerspruch. Mit 
der Entscheidung wird es künftigen Op- 
fern viel leichter sein ihre Rechte durch- 


zusetzen” (Twitter muss ehrverletzende 
Tweets löschen, www.lto.de 14.12.2022; 
Steinke, Und es gibt doch eine Pflicht, 
SZ 15.12.2022, 4). 


LG München I 


IAB-Cookie-Einwilligungs- 
management verstößt ge- 
gen TTDSG 


Das Landgericht (LG) München I hat 
mit Urteil vom 29.11.2022 in einem 
Verfahren gegen BurdaForward, eine 
Tochter von Hubert Burda Media, ent- 
schieden, dass der Cookie-Banner auf 
Focus Online gegen das Telekommuni- 
kation-Telemedien-Datenschutz-Gesetz 
(TTDSG) verstößt (Az. 33 0 14776/19). 
Die Richter gaben den Verbraucher- 
schützern nicht in allen Punkten recht. 
Die Entscheidung ist nicht rechtskräf- 
tig. Sie erging als erste in einer Reihe 
von Verfahren des Verbraucherzentrale 
Bundesverbands (vzbv) gegen die heu- 
te üblichen Cookie-Banner. Mit den 
Verfahren betritt der Dachverband der 
Verbraucherzentralen in vieler Hinsicht 
Juristisches Neuland. Für dessen admi- 
nistrative Bewertung sind die Daten- 
schutzbeauftragten der Länder zustän- 
dig. Mehrere dieser Behörden hatten 
2020 eine Prüfung von Verlags-Websites 
initiiert. Öffentlich bekannte Sanktio- 
nen oder andere spürbare Auswirkun- 
gen hatte dies jedoch bisher nicht. 

Die Verbraucherschützer reichten 
Klage gegeninsgesamt fünfgroße deut- 
sche Verlage ein. Zunächst war die Kla- 
gebefugnis des vzbv wegen Verstößen 
gegen die Datenschutz-Grundverord- 
nung (DSGVO) von vielen Unternehmen 
bestritten worden. Nach einer Vorlage 
durch den Bundesgerichtshof (BGH) 
beim Europäischen Gerichtshof (EuGH) 
war diese Frage grundsätzlich geklärt. 
Es bedarf keiner individualisierten Be- 
schwerden (DANA 2/2022, 125). Mit 
Beschluss vom 10.11.2022 richtete der 
BGH überraschend eine zweite Anfrage 
an den EuGH, um zu klären, ob der vzbv 
tätig werden darf, obwohl die DSGVO 
voraussetzt, dass ein Verstoß „infolge 
einer Verarbeitung“ vorliegen müsse 
(s.0. S. 64). 

Das LG München wollte mit seiner 
Entscheidung nicht auf diese Klärung 
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warten. Demnach darf der Verlag keine 
„domainübergreifende Aufzeichnung 
des Nutzerverhaltens zu Analyse- und 
Marketingzwecke” vornehmen, wenn 
die Zustimmung dazu nicht deutlich an- 
ders gestaltet wird. Das Gericht sieht die 
bisherige Praxis auf Focus Online nicht 
als geeignet dafür eine „informierte und 
freiwillige Einwilligung“ der Nutzer zu 
erlangen. Alleine die Screenshots der 
zum Klagezeitpunkt 2019 auf Focus On- 
line eingesetzten Cookie-Banner umfas- 
sen in der Gerichts-Entscheidung 141 
Seiten, was offensichtlich zu viel Infor- 
mation ist, um vom durchschnittlichen 
Verbraucher hinreichend gewürdigt zu 
werden. Selbst wer scheinbar die Einwil- 
ligung auf der ersten Ebene verweiger- 
te, musste noch viele Cookies hinneh- 
men, bei denen sich BurdaForward auf 
ein „berechtigtes Interesse” berief Nut- 
zerdaten zu verarbeiten und weiterzu- 
geben. Neben dem Einsatz von Cookies 
bemängelten die Verbraucherschützer 
auch andere Formen des Trackings: das 
Browser-Fingerprinting, die Einbindung 
von Skripten, iFrames und die Erfassung 
von IP-Adressen. 

Der beklagte Verlag verwies darauf, 
dass die Gestaltung des Cookie-Banners 
auf Focus Online marktüblich sei und Le- 
ser gar nicht alle Seiten des Cookie-Ban- 
ners zur Kenntnis nehmen müssten. Die 
Nutzer hätten die „Zweistufigkeit” sol- 
cher Dialoge mittlerweile gelernt. Auch 
sehe das Gesetz nicht vor, dass die Nutzer 
auf der ersten Ebene eines Cookie-Ban- 
ners mit einem Klick alle Datenverarbei- 
tungen ablehnen können sollten. 

Bei seinem Cookie-Banner stützt sich 
der Verlag wesentlich auf das Transpa- 
rency and Consent Framework (TCF) 
der Werbeorganisation IAB Europe, mit 
dessen Hilfe die Zustimmung von Nut- 
zern per einzelnem Klick an oft über 
hundert Drittparteien weitergegeben 
werden kann. Die zuständige belgische 
Datenschutzbehörde hatte das Verfah- 
ren bereits im Februar für unzulässig er- 
klärt (DANA 2/2022, 114 f.). Gegen die 
Aufsichtsentscheidung hat IAB Europe 
Rechtsmittel eingelegt. Der Burda-Ver- 
lag stellte sich aufden Standpunkt, dass 
der TCF und der übermittelte „Consent 
String“ den gesetzlichen Vorgaben ge- 
nüge und keine Informationen darüber 
enthalte, welche Apps oder Websites ein 
Nutzer besucht habe. Alles in allem biete 
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die Übermittlung des Einverständnisses 
alleine „keine sehr intimen Einsichten”. 

Das LG München I folgte dieser Argu- 
mentation nicht. Der TC-String sei ein- 
deutig eine personenbezogene Infor- 
mation, zu deren Übermittlung gerade 
die individuelle Zustimmung nötig sei. 
Da mit dem TC String auch notwendiger- 
weise eine IP-Adresse übertragen wer- 
de, sei ein Abgleich mit anderen Daten 
und damit eine Identifizierung möglich. 
Ebenso lehnte das Gericht die Argumen- 
tation ab, dass der Website-Betreiber 
selbst nicht verantwortlich sei, wenn 
Dritte Cookies abspeichern. Ob der Ver- 
lag Cookie-Banner auf Basis des TCF ein- 
setze, seisseine eigene Entscheidung. 

Das LG teilte auch nicht das Argu- 
ment, die Nutzer würden für die Verar- 
beitung ein gültiges Einverständnis er- 
teilen: „Als freiwillig kann die Einwilli- 
gung nur dann betrachtet werden, wenn 
die betroffene Person tatsächlich eine 
Wahlmöglichkeit hat, das heißt auch 
ohne Nachteile auf die Erteilung der 
Einwilligung verzichten kann.” Der Auf- 
wand die Einwilligung zu verweigern, 
sei angesichts der im Internet üblichen 
Schnelligkeit zu hoch. 

Ein berechtigtes Interesse könne 
nicht als Rechtfertigung für die Daten- 
verarbeitung herhalten. Zwar beklagen 
Verlage, dass ohne solche Datenverar- 
beitung die Refinanzierung journalis- 
tischer Inhalte kaum möglich ist: „Es 
handelt sich dabei lediglich um subjek- 
tive Interessen der Beklagten.” Weiter- 
gehende Anträge der Verbraucherschüt- 
zer lehnten sie aber ab, da sich die Klage 
nur auf das deutsche TTDSG und nicht 
auf die DSGVO direkt bezog. 

Rosemarie Rodden, Referentin beim 
vzbv, zeigte sich mit dem Urteil zufrie- 
den: „Sehr erfreulich ist, dass sich das 
Gericht unserer Ansicht angeschlossen 
und festgestellt hat, dass die mit dem 
Cookie-Banner eingeholte Einwilligung 
nicht auf einer freiwilligen Entschei- 
dung der Nutzer beruht. Das Gericht 
hat bestätigt, dass Cookies, die der do- 
mainübergreifenden Nachverfolgung 
zu Analyse- und Marketingzwecken 
dienen, für den Betrieb eines Nach- 
richtenportals nicht technisch unbe- 
dingt erforderlich sind.” Der Verband 
wolle nun prüfen, inwieweit man die 
Klagen in den parallel laufenden Ver- 
fahren weiter anpassen kann. 


Auf Seiten des Verlags sieht man dies 
naturgemäß anders. Burda beharrt dar- 
auf, dass das Einwilligungsmanagement 
bei Focus Online „sowohl den geltenden 
Gesetzen als auch zu jeder Zeit den gän- 
gigen Marktstandards” entspricht. Das 
Landgericht habe sich mit dem Urteil zu 
einigen „höchstrichterlich ungeklärten 
und kontrovers diskutierten Rechtsfra- 
gen” positioniert, weshalb der Verlag 
plant, Rechtsmittel gegen das Urteil 
einzulegen (Kleinz, Verbraucherschüt- 
zer klagen erfolgreich gegen Cookie- 
Banner, www.heise.de 19.12.2022, 
Kurzlink: https://heise.de/-7408270; 
Datenschutz-Streit wird erneut Fall für 
EuGH, www.lto.de 10.11.2022). 


SG München 


TI-Anschlusspflicht ist 
rechtmäßig 


Das Sozialgericht (SG) München hat 
mit Urteil vom 26.01.2023 die Klage ei- 
nes Arztes gegen Honorarkürzungen im 
Zusammenhang mit der verpflichtenden 
Anbindung an die Telematikinfrastruktur 
(TI) - dem deutschen Gesundheitsnetz - 
abgewiesen. Demgemäß ist es nicht er- 
sichtlich, dass die einschlägigen Vor- 
schriften im Sozialgesetzbuch (SGB) V 
gegen die Datenschutz-Grundverord- 
nung verstoßen. Nach einer etwa fünf- 
stündigen Verhandlung hatte das Gericht 
gut eine Stunde hinter verschlossenen 
Türen beraten. Der Augenarzt Gernot Pet- 
zold aus Kulmbach hatte sich mit seiner 
Klage gegen den Abzug von einem bis zu 
2,5% der Kassen-Vergütung gewendet. 
Seit einigen Jahren sind Ärzte und Psy- 
chotherapeuten verpflichtet sich an die 
TI anzuschließen, über die Patientenda- 
ten ausgetauscht werden. Petzold sieht 
die ärztliche Schweigepflicht und die 
Sicherheit der Patientendaten gefährdet 
und verweigert sich dem Anschluss: „Es 
ist für mich nicht kontrollierbar, wer die 
Daten nutzen kann. Dadurch ist das Per- 
sönlichkeitsrecht der Patienten verletzt. 
Ich sehe die gesamte ärztliche Behand- 
lung in Gefahr, wenn die Menschen nicht 
mehr vertrauensvoll mit dem Arzt reden 
können. Solche Daten müssen beim Arzt 
bleiben.” Verschiedene Institutionen 
und Firmen, darunter Pharmafirmen, 
IT-Unternehmen und Hersteller medizi- 
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nischer Geräte, hätten Interesse an den 
Daten. Zudem gebe es immer wieder Ha- 
ckerangriffe. „Einen Anschluss meines 
Praxisservers ans Internet - das will ich 
nicht. Ich habe eine voll digitalisierte 
Praxis, aber das System ist in sich ge- 
schlossen.” 

Petzold ist Vorstandsmitglied des Bay- 
erischen Facharztverbandes (BFAV). Er 
kündigte an Berufung einzulegen und 
notfalls bis zum Bundesverfassungsge- 
richt oder zum Europäischen Gerichts- 
hof zu ziehen. Beklagt war die Kassen- 
ärztliche Vereinigung Bayern (KVB). 
Nach deren Angaben sind rund 1.600 
von rund 17.600 Praxen in Bayern nicht 
an die TI angeschlossen und müssen ge- 
mäß Gesetz jedes Quartal einen Hono- 


Gola, Peter/Heckmann, Dirk 
Datenschutz-Grundverordnung 
Bundesdatenschutzgesetz 
Kommentar, Verlag C.H.Beck München, 
3. Aufl. 2022 
ISBN 978-3-406-78266-4, 1864 S., 
99,00 € 

(tw) Niemand kann behaupten, dass 
es zur DSGVO nicht genügend Kommen- 
tierungen gäbe. Was sich schon nach der 
Verabschiedung der DSGVO abzeichnete, 
findet auch nach vier Jahren Anwendbar- 
keit kein Ende - inzwischen angereichert 
durch Kommentierungen zum BDSG. Der 
„Gola“ hat ein lange Geschichte: Begrün- 
det wurde die Kommentierung des ur- 
alten BDSG von Ordemann/Schomerus. 
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rarabzug hinnehmen. Das SG München 
hatte schon im November 2022 eine 
ähnlich lautende Klage eines Zahnarztes 
abgewiesen. In Stuttgart hatte ein Arzt 
ebenfalls ohne erstinstanzlichen Erfolg 
geklagt. Weitere Klagen sind anhängig. 
Eine Sprecherin des SG meinte, die Sa- 
che müsse letztlich wohl höchstrichter- 
lich vom Bundessozialgericht entschie- 
den werden. Es gehe um grundsätzliche 
Fragen, insbesondere, ob die gesetzlich 
festgelegte Verpflichtung mit höherran- 
gigem Recht wie dem Grundgesetz und 
der Datenschutz-Grundverordnung der 
EU vereinbar sei. 

Die KVB erklärte nach der Entschei- 
dung: „Auch nach dem heutigen Be- 
schluss des Sozialgerichts bleiben wir 


1992 erschien dann die 5. Auflage erst- 
mals mit Peter Gola und Rudolf Schome- 
rus. Es folgten viele weitere Auflagen, die 
immer dicker und auch schwerer zu lesen 
wurden. Das BDSG wurde geändert, zu- 
letzt völlig, nachdem es an die Vorgaben 
der DSGVO angepasst werden musste. So 
erschien 2019 die 13. Auflage, diesmal 
mit herausgegeben von Dirk Heckmann 
(DANA 2/2019, 113). Das BDSG wurde 
zu einer teilweise die DSGVO nur noch 
ergänzenden Rumpfregelung. Die DSGVO 
wurde derweil auch von Gola herausge- 
geben kommentiert, 2018 schon in zwei- 
ter Auflage (DANA 3/2018, 160). Es war 
undistnaheliegend, dass nun die beiden 
Kommentierungen zusammengeführt 
zwischen zwei Buchdeckeln erscheinen. 
Dies erspart Doppelkommentierungen 
sowie ein Hin und Her. Auch Konkur- 
renzprodukte liefern gemeinsame Kom- 
mentierungen von DSGVO und BDSG. 

Die Zahl der Kommentierer:innen 
hat weiter zugenommen. Inzwischen 
zeichnen 30 Personen für den Inhalt 
verantwortlich - viele seit Jahren, eini- 
ge neu dabei. 

Nicht nur die Zahl der Autor:innen 
zeigt, dass zumindest für den Juris- 
tenstand der Datenschutz etabliert ist. 
Quellen finden sich bei Gerichten, in 


dabei: Repressionen und Sanktionen 
wie die Honorarkürzungen bei Nicht- 
anbindung an die Telematikinfrastruk- 
tur sind der falsche Weg, um innerhalb 
der Ärzteschaft Akzeptanz für die Di- 
gitalisierung des Gesundheitswesens 
zu schaffen.” Die Politik sei gefordert 
gemeinsam mit Ärztinnen und Ärzten 
eine zukunftsfähige Strategie zu entwi- 
ckeln, wie die Informationstechnologie 
nutzbringend für Praxen und Patienten 
eingesetzt werden könne (Sorge um 
Schutz von Patientendaten: Gericht 
weist Klage eines Arztes ab, www.heise. 
de 27.01.2023, Kurzlink: https://heise. 
de/-7472301; Sorge um Schutz von Pa- 
tientendaten: Gericht weist Klage ab, 
www.sueddeutsche.de 26.01.2023). 


Buchbesprechungen 


Fachartikeln und in einer Vielzahl von 
Veröffentlichungen der Aufsichtsbehör- 
den sowie derer Zusammenschlüsse (Eu- 
ropäischer Datenschutzausschuss, DSB- 
Konferenz). Hier noch den Überblick zu 
wahren und ä& jour zu bleiben ist nicht 
einfach. Hier helfen gute Kommentie- 
rungen - zu denen der aktuelle Gola/ 
Heckmann gehört. Kommentiert wer- 
den nicht nur die 88 1 bis 44, sondern 
auch die 88 45 bis 86 BDSG zu Polizei 
und Justiz. Dies kann aber nur rudimen- 
tär bleiben, zumal die Hauptregelungen 
zu Polizei und Justiz im spezifischen 
Recht zu finden sind. Das neue TTDSG 
ist berücksichtigt, wird aber nicht spe- 
ziell kommentiert. Zwar differiert die 
Qualität von Autorin zu Autor, doch 
durchgängig ist sie gut, aktuell und ver- 
lässlich. Anders als die Großkommenta- 
re sind die Texte noch übersichtlich, so 
dass die Nutzung nicht gleich zu einer 
wissenschaftlichen Arbeit werden muss. 
Dennoch ist das Buch auch zum vertief- 
ten Einstieg geeignet. Die Verweise sind 
vielfältig und - soweit das bei den über 
1800 Seiten beurteilt werden kann - 
weitgehend vollständig. 

Es handelt sich um einen Praxiskom- 
mentar an ein wenig differenziertes Pu- 
blikum. Dies hat zur Folge, dass nicht 
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von allen Autor:innen eine bürgerrecht- 
liche Linie verfolgt wird. Erfreulich ist 
aber, dass Autoren, die ehedem eine 
weniger betroffenenfreundliche Linie 
verfolgt haben, sich aktuellen positiven 
Entwicklungen bei der Aufsicht oder 
bei Gerichten anschließen, oder die- 
se zumindest darstellen. D.h. referiert 
wird der „Mainstream“, eher selten eine 
kritische Sichtweise, die ja angesichts 
der Schlampigkeit des deutschen Ge- 
setzgebers an vielen Stellen angebracht 
und notwendig ist. Dieses Defizit weisen 
aber fast alle Kommentare mit diesem 
Gegenstand auf, vielleicht abgesehen 
vom Großkommentar Simitis/Hornung/ 
Spiecker (DANA 1/2019, 34) sowie dem 
sich auf Beschäftigtendatenschutz 
fokussierenden Däubler/Wedde/Wei- 
chert/Sommer (DANA 3/2018, 161). 
Erfreulich ist auch der Preis, der das 
Werk erschwinglich macht. Für Anwen- 
dende im allgemeinen Datenschutz also 
zu empfehlen, nicht nur als Einstieg, re- 
gelmäßig, aber eben nicht immer, aus- 
reichend für die abschließende Beant- 
wortung von praktischen Fragen. 


Rost, Martin 

Das Standard-Datenschutzmodell 
(SDM) 

Einführung, Hintergründe und Kontexte 
zum Erreichen der Gewährleistungsziele 
Springer Vieweg Wiesbaden, 2022 

ISBN 978-3-658-38879-9, 223 5., 

59,95 €, ISBN 978-3-658-38880-5 
(eBook), 46,99 € 


(tw) Während die Literaturlage in Sa- 
chen Datenschutzrecht üppig ist, kann 
das über das Angebot zum Thema tech- 
nischer Datenschutz so nicht gesagt 
werden. Zwar gibt es auch hierzu hau- 
fenweise Aufsätze - insbesondere zu 
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Einzelthemen - und auch spezifische 
Buchveröffentlichungen, doch eine kon- 
sistente allgemeine, auch für den enga- 
gierten Laien verständliche Darstellung 
gab es bisher noch nicht. Bisher. Dieses 
Defizit wird durch das Werk von Rost be- 
hoben. Es wendet sich aber vor allem an 
Insider. Schon mit dem Titel „Standard- 
Datenschutzmodell“, kurz SDM, können 
Nicht-Datenschützer zunächst nichts 
anfangen. Dass es sich hierbei um ein 
im Rahmen der Kooperation der Daten- 
schutzaufsichtsbehörden entwickeltes 
Konzept zur technischen Umsetzung 
und Kontrolle technisch-organisatori- 
scher Datenschutz-Maßnahmen (TOM) 
handelt, ist außerhalb der Szene nicht 
bekannt. Doch auch für Insider ist der 
Begriff bisher wenig greifbar, ja, er ist 
fast mystisch - als sei das SDM die All- 
zweckwaffe, mit der alle Fragen zum 
technischen Datenschutz beantwortet 
werden könnten, wenn man sich nur tief 
genug damit befassen würde, wovon man 
aber eher zurückschreckt. 

Bei der Lektüre des Buchs werden 
wir eines Besseren belehrt: Das SDM ist 
nichts Geheimnisvolles, Schwieriges, 
auch nicht abschließend Vollständiges. 
Es handelt sich um eine entwicklungsfä- 
hige Methode, mit der technischer Da- 
tenschutz in die Praxis umgesetzt wird. 
Und das ist kein Hexenwerk, wenn auch 
nicht ganz einfach. Den Zugang hierzu 
liefert Rost mit seinem Buch. 

Der Autorist hier prädestiniert-durch 
seine vielen Jahre Aufsichtserfahrung 
beim Unabhängigen Landeszentrum für 
Datenschutz Schleswig-Holstein (ULD), 
vor allem aber als derjenige, der die ur- 
sprünglich auf Andreas Pfitzmann zu- 
rückgehende Idee der Systematisierung 
von Schutzzielen über Jahre hinweg bis 
heute begleitet und maßgeblich voran- 
getrieben und inzwischen mit dem SDM 
zu einer erfolgreichen und anerkannten 
Methode gereift hat. Er erweist sich da- 
bei nicht nur als fachlich kompetent, 
sondern auch pädagogisch, wie er mit 
einer einfachen und klaren Sprache 
didaktisch klug das Anliegen des SDM 
und den Umgang mit dem SDM vermit- 
telt, durch Wiederholungen, das Einge- 
hen auf sich aufdrängende Bedenken 
und durch Aufgaben zwecks Reflektion 
durch den Leser. Dies tut er nicht beleh- 
rend, aber mit schonungsloser Klarheit 
- auch gegenüber den vielen Dilettan- 


ten, die sich auf dem Feld des techni- 
schen Datenschutzes tummeln und äu- 
ßern. Er erklärt, setzt sich mit anderen 
Positionen auseinander und beschränkt 
sich nicht - was weit verbreitet ist - auf 
das Abarbeiten von Checklisten. 

Statt also gleich mit Maßnahmen zu 
beginnen, verfolgt Rost einen ganz- 
heitlichen Ansatz, indem er zunächst 
die zentrale Funktion des informatio- 
nellen Grundrechtsschutzes definiert, 
nämlich die Machtasymmetrie zwischen 
datenverarbeitender Organisation und 
Betroffenen zu kompensieren und de- 
ren Datenverarbeitung fair zu gestalten, 
und indem er dann auch die rechtlichen 
Instrumente der DSGVO erläutert. 

Erhellend ist das beschriebene syste- 
matische Vorgehen. So werden zunächst 
die Gewährleistungsziele Datenmini- 
mierung (als Konkretisierung der Nicht- 
verkettung) - Verfügbarkeit - Integri- 
tät - Vertraulichkeit - Nichtverkettung 
- Transparenz - Intervenierbarkeit aus 
den Zielen des Art. 5 DSGVO abgeleitet 
und in ein Verhältnis gesetzt. Keines der 
Ziele, die zueinander in Konflikt stehen 
können, darf absolut gesetzt werden. 
Es bedarf einer Zieloptimierung im An- 
wendungsfall. Hierbei ist nach Verarbei- 
tungsschritten zu differenzieren: von der 
Erhebung über die Speicherung und die 
Nutzung bis zur Löschung. Jedes der Zie- 
le wird mit Maßnahmen in Verbindung 
gebracht - den berühmten TOM - und 
im Hinblick auf die Risiken zugeordnet. 
Dabei differenziert Rost, der DSGVO fol- 
gend, zwei Risikoklassen: normales und 
hohes Risiko. Er orientiert sich aber hin- 
sichtlich der nötigen Maßnahmen daran, 
dass auch schon ohne weitere Folgen mit 
der reinen Verarbeitung personenbezo- 
gener Daten ein Eingriff erfolgt. 

Um keine Risiken zu übersehen und 
eine umfassende technische Gewähr- 
leistung des Datenschutzes sicherzu- 
stellen, wird derSDM-Würfel vorgestellt, 
bei dem auf sämtlichen Verarbeitungs- 
ebenen (Fachlogik, konkrete Sachbe- 
arbeitung, Infrastruktur) und allen Ver- 
arbeitungsphasen sämtliche Gewähr- 
leistungsziele durchdekliniert werden. 
Die TOM werden beschrieben, wobei der 
Schwerpunkt auf die datenschutzspezi- 
fischen TOM gesetzt werden, ohne aber 
die klassischen IT-Sicherheits-TOM zu 
vernachlässigen. Es sind auch genau 
diese (z.B. Protokollierung, Mandan- 
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tentrennung, Rollenkonzept), die im 
SDM von den Aufsichtsbehörden bisher 
besonders in den Fokus genommen wer- 
den. Die regelmäßige Anwendung des 
Instruments des SDM ist im Rahmen ei- 
nes Datenschutzmanagements sinnvoll. 

Der Autor beschreibt, aufbauend auf 
der Geschichte der SDM-Methode, de- 
ren Verhältnis zu den Schutzzielen der 
Informationssicherheit sowie zu ver- 
wandten Instrumenten. Das vorrangi- 
ge Schutzobjekt der IT-Sicherheit ist 
die Organisation. Der Datenschutz hat 
dagegen den Betroffenen im Blick. Die 
anzuwendenden Maßnahmen ergänzen 
sich aber hervorragend. Rost stellt dar, 
wie das SDM bei der Erstellung von Ver- 
arbeitungsverzeichnissen, v.a. aber bei 
der Datenschutz-Folgenabschätzung 
und bei Datenschutz-Zertifizierungen 
nützlich eingesetzt werden kann. 

Erfreulich ist der Stil des Buchs: Es ist 
meinungsstark parteiisch und zugleich 
faktenbasiert und mit vielen Beispie- 
len versehen. Damit ist der Autor in der 
Lage seine eigene Begeisterung auf den 
Leser zu übertragen. Jedes Kapitel ist 
mit weiterführenden Literaturhinwei- 
sen versehen; ein Stichwortverzeich- 
nis ermöglicht die Nutzung sowohl als 
Lern-, als auch als Umsetzungs- und 
Nachschlagewerk. So ist das Buch von 
Rost zugleich Einführung, Vertiefung 
und Gebrauchsanweisung für jede und 
jeden, die und der mit operativem Da- 
tenschutz zu tun hat. 


Däubler, Wolfgang 

Digitalisierung und Arbeitsrecht 
Künstliche Intelligenz, Homeoffice, 
Arbeit 4.0 

Bund Verlag Frankfurt/Main, 8. Aufl. 
2022, ISBN 978-3-7663-7272-7, 675S., 
46,00 € 
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(tw) Inzwischen in der 8. Auflage ist 
das erstmals 2001 unter dem Titel „In- 
ternet und Arbeitsrecht” erschienene 
Buch von Wolfgang Däubler erhältlich. 
Dass der Titel sich gewandelt hat und 
inzwischen das Internet keiner explizi- 
ten Erwähnung im Titel bedarf und neue 
Buzzwords als Untertitel auftauchen ist 
der rasanten technischen Entwicklung 
zuzuschreiben, welche die Welt gene- 
rell, aber eben auch die Arbeitswelt er- 
fasst hat. Das Internet bleibt natürlich 
präsent, als Kommunikationsbackbone, 
für die sog. Künstliche Intelligenz (KT), 
beim Einsatz sozialer Medien, in der 
Bewerbungssituation, im Homeoffice, 
beim Robotereinsatz, beim Einsatz pri- 
vater Geräte im Arbeitskontext (bring 
your own device), beim Einsatz von vir- 
tuellen Realitäten oder beim Crowdwor- 
king. Das alles will rechtlich eingehegt 
sein und es wird tatsächlich auch - oft 
unvollständig und oft unqualifiziert - 
geregelt, von Gerichten bewertet und 
in Betriebsvereinbarungen zwischen 
Arbeitgebern und Beschäftigten aus- 
gehandelt. Däubler stellt die aktuelle 
Rechtslage dar, zu der jüngst auch das 
TTDSG und das Betriebsrätemodernisie- 
rungsgesetz gehören. 

Wer zu Digitalisierungsfragen im 
Betrieb Antworten sucht, findet sie in 
dem Buch. Die Entwicklungen werden 
thematisiert, die aktuellen Zustände 
ausführlich beschrieben und erörtert; 
für die Zukunft wird ein Ausblick gege- 
ben. Das Ganze tut Däubler umfassend 
und die verschiedenen Seiten beleuch- 
tend. Dabei bleibt aber immer wieder 
klar, auf welcher Seite er im Streit- oder 
Konfliktfall steht - auf der Seite der 
Beschäftigten, wenn es darum geht das 
rechtliche, finanzielle und organisa- 
torische Übergewicht der Arbeitgeber 
auszugleichen. Zugleich zeigt Däubler 
aber auch ein tiefes Verständnis für die 
Probleme und berechtigten Bedürfnis- 
se der Arbeitgeber, wobei er aus einem 
großen Schatz eigener Erfahrungen 
schöpfen kann. 

Natürlich ist der Datenschutz ein 
Schwerpunkt der Darstellung, wobei 
dieser vom Autor an anderer Stelle, 
in seinen „Gläsernen Belegschaften” 
oder in dem von ihm mit herausge- 
gebenen DSGVO/BDSG-Kommentar 
teilweise detaillierter behandelt wird. 
Dessen ungeachtet werden alle Daten- 


schutzgrundfragen, die alten wie die 
sich z.B. mit dem TTDSG neu ergeben- 
den, qualifiziert behandelt. Darüber 
hinausgehend finden wir in dem Werk 
Antworten zu weiteren relevanten Fra- 
gen: der digitalen Qualifizierung, den 
Beteiligungsrechten des Betriebs- bzw. 
Personalrats, dem Schutz in Social Me- 
dia, der Arbeitszeiterfassung, zum Ar- 
beitsschutz, der unerlaubten Nutzung 
dienstlicher Geräte, sonstigen mögli- 
chen digitalen Pflichtverletzungen des 
Arbeitnehmers, der Arbeitsvermittlung 
im Netz und dem Arbeiten als Netzar- 
beiter oder Fragen der IT-Sicherheit. 
Das Ganze wird mit vielen Literatur- 
und Quellenangaben belegt, so dass 
weitere Recherchen erleichtert werden. 
Umfangreiche Verzeichnisse zum In- 
halt, zur Literatur und zu Stichworten 
ermöglichen das schnelle Suchen und 
qualifizierte Finden. Ein gutes Preis- 
Leistungsverhältnis macht das Werk 
nicht nur für Betriebsräte, Arbeitgeber 
oder IT-ler, sondern auch für einfache 
Beschäftigte interessant und nützlich. 


Klaus, Sebastian/Wittmann, Philipp 
(Hrsg.) 

AufenthV - Aufenthaltsverordnung 
Kommentar 

C.H.Beck München, 2022 

ISBN 978 3 406 77016 6, 530 S., 
129,00 € 


(tw) Es mag erstaunen, dass in einer 
Datenschutzzeitschrift ein Kommen- 
tar zum Aufenthaltsrecht rezensiert 
wird. Dies erklärt sich aber leicht mit 
der Datenschutzrelevanz der Verwal- 
tungsnormen im Ausländerrecht. 
Zwar liegt der Schwerpunkt des Da- 
tenschutzrechts für Ausländerinnen 
und Ausländer im Ausländerzentral- 
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registergesetz und in den 88 86 ff. 
AufenthG. Insofern liegen brauch- 
bare Kommentierungen vor. Doch 
diese schon äußerst komplizierten 
Regelungen sind noch nicht ansatz- 
weise geeignet einen Überblick über 
die komplexen Informations- und 
Kommunikationsprozesse zu geben, 
die bei der Anwendung des Auslän- 
derrechts relevant sind und deshalb 
für die betroffenen Menschen evtl. 
existenzielle Bedeutung haben. Viele 
relevante Normen finden sich in der 
Aufenthaltsverordnung (AufenthV). 
Diese ist das „Scharnier“ zwischen 
dem Aufenthaltsgesetz und der Be- 
schäftigungsverordnung, welche die 
Voraussetzungen bestimmt, nach de- 
nen Ausländerinnen und Ausländer in 
Deutschland zum Arbeitsmarkt zuge- 
lassen werden können. Die AufenthV 
regelt die Passpflichten einschließlich 
des Umgangs mit Passersatzpapie- 
ren für Ausländer und den Angaben, 
die hierbei aufgenommen und wei- 
terarbeitet werden. Neben weiteren 
Normen, die nicht für Flüchtlinge, 
sondern für sonstige Ausländerinnen 
und Ausländer gelten (z.B. Visum- 
verfahren), bei denen es auch zum 
personenbezogenen Datenaustausch 
kommt, sind die Verfahrensvorschrif- 
ten mit der Kommunikation zwischen 
den Beteiligten von Relevanz. Die 
Aufenthaltstitel und alle weiteren Do- 
kumente enthalten Daten, teilweise 
sensitiver Art wie z.B. Fingerabdrücke 
oder Lichtbilder, die ausgetauscht 
und in der Ausländerdateien A und B 
geführt werden, die unter Behörden 
ausgetauscht werden und mit denen 
technische Sicherheitsvorkehrungen 
einhergehen. 

In dem Kommentar von Klaus/Witt- 
mann werden diese Normen aktuell 
erstmals überhaupt ausführlich darge- 
stellt und kommentiert. Mit kommen- 
tiert haben neben den Herausgebern 
Andreas Dippe, Kim Hammer, Sebasti- 
an Röder und Stephanie Tonn. Durch 
sie kommt ein wenig mehr Licht iin den 
bestehenden Normendschungel bei der 
Datenverarbeitung und generell der 
Verwaltung zu Nichtdeutschen. Vie- 
le Querverweise zu anderen Normen, 
etwa im AufenthG, aber auch in euro- 
päischen Regelungen oder in weiteren 
nationalen Spezialgesetzen, erleich- 
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tern die Orientierung. Die Sprache ist 
verständlich, nicht übermäßig juris- 
tisch. Es handelt sich nicht um eine 
kritische, sprich politische Kommen- 
tierung, sondern um die kompetente 
Darlegung des verwaltungsmäßig Vor- 
gesehenen und der administrativen 
Praxis. Bewertungen erfolgen, werden 
aber kurz gehalten. Auch die geplanten 
Änderungen, insbesondere das Aufge- 
hen der Ausländerdatei A in den Aus- 
länderbehörden ins Ausländerzentral- 
register, werden angesprochen. 

Es handelt sich hier um ausgespro- 
chene Speziallektüre. Vorausgesetzt 
werden einschlägige Spezialkenntnis- 
se, also die Grundlagen des Auslän- 
derrechts wie des Datenschutzrechts. 
Für Spezialisten ist der Kommentar 
aber eine wichtige Arbeitshilfe, um 
Verfahren und insbesondere die Pro- 
zesse in der Ausländerverwaltung zu 
verstehen und einordnen zu können. 
Damit sollte er zumindest für die aus- 
länderrechtliche Fachanwaltschaft 
wie für die Migrations-Beratungstä- 
tigkeit verfügbar sein. 


Schreiber, Kristine/Pommerening, 
Patrick/Schoel, Philipp 

Das neue Recht der Daten-Gover- 
nance - Data Governance Act (DGA) 
Nomos Verlagsgesellschaft, 
Baden-Baden 2023 

ISBN 978-3-8487-8786-9, 162 S., 
59,00€ 


(ak) Wenn ein Kommentar zu einem 
neuen Rechtsakt bereits wenige Wo- 
chen nach dessen Veröffentlichung er- 
scheint, ist naturgemäß kein umfang- 
reicher Apparat mit Rechtsprechung zu 
erwarten, schließlich müssen die Urtei- 
le erst noch gefällt werden. 


Die Autorin und die Autoren des 
vorliegenden Bandes haben sich auf 
Basis der genauen Beobachtung des 
Gesetzgebungsprozesses daran gewagt 
die neuen Bestimmungen einzuordnen 
und ihre mögliche Wirkung im Kontext 
der vorhandenen Rechtsetzung einzu- 
schätzen. Dies ist natürlich umso inte- 
ressanter, als der DGA selbst nur ein Be- 
standteil eines größeren Systems ist, 
von dem wesentliche Teile, insbeson- 
dere der Data Act und die Verordnung 
über den Europäischen Gesundheitsda- 
tenraum, noch im Gesetzgebungsver- 
fahren sind. 

Der Kommentar zum DGA ist den- 
noch hilfreich. Auch wenn noch nicht 
alle praktischen Fragen der Anwender 
beantwortet werden können, bietet er 
einen guten Einstieg in die angestrebte 
europäische Datenstrategie. Kernfragen 
des Instruments werden beleuchtet, so 
die überhaupt nicht einfache Bestim- 
mung des Verhältnisses zwischen dem 
bestehenden Recht über die Verarbei- 
tung personenbezogener Daten und dem 
angestrebten Teilen von Daten. Die Fra- 
ge, wie dieses Verhältnis in praktischen 
Fällen gestaltet werden kann, und wie 
Konflikte zwischen beiden Rechtsberei- 
chen gelöst werden können, bedarf in 
der Tat noch erheblicher Arbeit, die zum 
Teil auch erst von den Gerichten bewäl- 
tigt werden kann. Auch das grundsätz- 
lich neue Konzept des Datenaltruismus 
wird berücksichtigt. 

Zielgruppe des Buches sind laut Ein- 
führung Unternehmen und Behörden, 
die von den Bestimmungen des DGA 
betroffen sind. Der Band mag aber 
auch den an den anderen Gesetzge- 
bungsverfahren Beteiligten helfen die 
Bestimmungen des DGA schnell nach- 
zuschlagen. 

In einer Folgeauflage soll der Data 
Act berücksichtigt werden, ohne den 
der DGA seine Wirkung kaum entfalten 
kann. Der vorhandene Kommentar kann 
zur Vorbereitung auf die Auseinander- 
setzung mit der komplexeren Datenstra- 
tegie dienen. 

Insgesamt ist der Kommentar gut 
lesbar, und dank eines umfangreichen 
Index auch als Nachschlagewerk ge- 
eignet. 
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Das Bild auf dieser Seite wurde von der OpenAI-Anwendung DALL-E nach den Vorgaben „Hund mit 
Brille und Hut“ automatisiert generiert. Hierbei zeigt sich, dass künstliche Intelligenz nicht nur eine 
Herausforderung für den Datenschutz sondern auch für das Urheberrecht ist. 


